Июльский набор патчей от Microsoft: устранены 85 дефектов безопасности, включая уязвимость нулевого дня.
Обнаруженная 0-day позволяла злоумышленникам повышать права в операционной системе Windows. Самая опасная уязвимость получила 7,8 балла по шкале CVSS — она отслеживается под идентификатором CVE-2022-22047 и затрагивает подсистему Client/Server Runtime (csrss.exe). Помимо нее, устранено еще 84 уязвимости, четыре из которых получили критическую степень опасности. Выявленные проблемы затрагивают Microsoft Office, BitLocker, Microsoft Defender, Windows Azure и Windows Windows Hyper-V.
Microsoft советует как можно быстрее обновить систему, чтобы снизить возможные риски ущерба от хакерских атак.
Обнаруженная 0-day позволяла злоумышленникам повышать права в операционной системе Windows. Самая опасная уязвимость получила 7,8 балла по шкале CVSS — она отслеживается под идентификатором CVE-2022-22047 и затрагивает подсистему Client/Server Runtime (csrss.exe). Помимо нее, устранено еще 84 уязвимости, четыре из которых получили критическую степень опасности. Выявленные проблемы затрагивают Microsoft Office, BitLocker, Microsoft Defender, Windows Azure и Windows Windows Hyper-V.
Microsoft советует как можно быстрее обновить систему, чтобы снизить возможные риски ущерба от хакерских атак.
Четыре крупных утечки данных зафиксированы в июле
На этой неделе в свободный доступ попали три файла с рекордным объемом информации о клиентах и контрагентах сервиса СДЭК. Это минимум 330 тысяч клиентов экспресс-доставки и 25 миллионов телефонных номеров. Содержимое одного документа совсем свежее, он был создан 5 июля.
На продажу в сети была также выставлена база бонусной программы «kari CLUB». Слитая база тоже является свежей и содержит 1,2 миллиона строк с ФИО, датами рождения, номерами телефонов, адресами электронной почты, местами жительства и номерами бонусных карт покупателей сети.
В популярном хранилище злоумышленники разместили три гигабайта архива известного разработчика программного обеспечения “Террасофт”. Архив содержит данные его основных разработок — приложений BPM Online и Terrasoft_Bank. В него вошел внушительный объем данных: исходные коды проектов, скрипты, используемые во внутренних системах, а также данные сотрудников, включая логины, пароли, сертификаты и RDP-доступы.
От действий цифровых злоумышленников пострадал и «Московский экспортный центр», в раскрытом архиве которого содержатся 30 тысяч имен клиентов и контактные данные субсидиантов центра.
На этой неделе в свободный доступ попали три файла с рекордным объемом информации о клиентах и контрагентах сервиса СДЭК. Это минимум 330 тысяч клиентов экспресс-доставки и 25 миллионов телефонных номеров. Содержимое одного документа совсем свежее, он был создан 5 июля.
На продажу в сети была также выставлена база бонусной программы «kari CLUB». Слитая база тоже является свежей и содержит 1,2 миллиона строк с ФИО, датами рождения, номерами телефонов, адресами электронной почты, местами жительства и номерами бонусных карт покупателей сети.
В популярном хранилище злоумышленники разместили три гигабайта архива известного разработчика программного обеспечения “Террасофт”. Архив содержит данные его основных разработок — приложений BPM Online и Terrasoft_Bank. В него вошел внушительный объем данных: исходные коды проектов, скрипты, используемые во внутренних системах, а также данные сотрудников, включая логины, пароли, сертификаты и RDP-доступы.
От действий цифровых злоумышленников пострадал и «Московский экспортный центр», в раскрытом архиве которого содержатся 30 тысяч имен клиентов и контактные данные субсидиантов центра.
Большинство поставщиков программного обеспечения не могут бороться с уязвимостями процессоров
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Новый вредоносный Linux-фреймворк остается незамеченным в системе
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.
База клиентов «Билайна» появилась в даркнете
Продавец в качестве примера демонстрирует часть персональных данных клиентов оператора связи «Билайн» из Астрахани, Тольятти и Санкт-Петербурга. База содержит ФИО, номера телефонов и паспортные данные. Ранее, в сентябре прошлого года, в открытом доступе также оказались логи с персональными данными клиентов оператора. Пресс-служба «Билайна» тогда сделала следующее заявление: «По имеющейся у нас информации, в этой базе могут содержаться технические логи небольшой части наших абонентов фиксированного интернета». Но позднее на одном из форумов появилась информация по обмену 350 тыс. записей с данными клиентов оператора из Москвы, Московской области, Санкт-Петербурга и Ленинградской области.
Продавец в качестве примера демонстрирует часть персональных данных клиентов оператора связи «Билайн» из Астрахани, Тольятти и Санкт-Петербурга. База содержит ФИО, номера телефонов и паспортные данные. Ранее, в сентябре прошлого года, в открытом доступе также оказались логи с персональными данными клиентов оператора. Пресс-служба «Билайна» тогда сделала следующее заявление: «По имеющейся у нас информации, в этой базе могут содержаться технические логи небольшой части наших абонентов фиксированного интернета». Но позднее на одном из форумов появилась информация по обмену 350 тыс. записей с данными клиентов оператора из Москвы, Московской области, Санкт-Петербурга и Ленинградской области.
LibreOffice выпустила патчи для устранения трех уязвимостей
Первую уязвимость (CVE-2022-26305) разработчики охарактеризовали как некорректную валидацию сертификата при проверке подписи макросов. Благодаря ей злоумышленник может выполнить произвольный код с помощью макросов, создав сертификат с определенным серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан проверенной организацией.
Второй баг (CVE-2022-26306), связанный со статичным вектором инициализации при шифровании, позволяет атакующему получить доступ к пользовательским настройкам и ослабить защиту устройства.
Последняя из устраненных уязвимостей (CVE-2022-26307) относится к плохо зашифрованному мастер-ключу. С ее помощью можно провести брутфорс сохраненных паролей.
Если у вас установлен пакет LibreOffice, обязательно обновите его до версий 7.2.7, 7.3.2 и 7.3.3.
Первую уязвимость (CVE-2022-26305) разработчики охарактеризовали как некорректную валидацию сертификата при проверке подписи макросов. Благодаря ей злоумышленник может выполнить произвольный код с помощью макросов, создав сертификат с определенным серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан проверенной организацией.
Второй баг (CVE-2022-26306), связанный со статичным вектором инициализации при шифровании, позволяет атакующему получить доступ к пользовательским настройкам и ослабить защиту устройства.
Последняя из устраненных уязвимостей (CVE-2022-26307) относится к плохо зашифрованному мастер-ключу. С ее помощью можно провести брутфорс сохраненных паролей.
Если у вас установлен пакет LibreOffice, обязательно обновите его до версий 7.2.7, 7.3.2 и 7.3.3.
👍1
Google устранил 27 уязвимостей браузера Chrome
Вышла новая версия браузера Chrome под номером 104, в которой были устранены 27 уязвимостей. Самые опасные из них получили высокую степень риска, но критических обнаружено не было. Также не упоминается о наличии рабочих эксплойтов, которые бы использовались в реальных кибератаках.
Релиз доступен для всех поддерживаемых ОС, включая мобильные устройства.
Вышла новая версия браузера Chrome под номером 104, в которой были устранены 27 уязвимостей. Самые опасные из них получили высокую степень риска, но критических обнаружено не было. Также не упоминается о наличии рабочих эксплойтов, которые бы использовались в реальных кибератаках.
Релиз доступен для всех поддерживаемых ОС, включая мобильные устройства.
👍3
Что же такое цифровая криминалистика и реагирование на инциденты? (DFIR)
DFIR — это междисциплинарный набор задач и процессов, направленных на расследование инцидента кибербезопасности. Он сочетает в себе традиционные действия по реагированию на инциденты (планирование, моделирование инцидентов и реагирования на них, документирование ИТ-архитектуры и разработку плэйбуков) с методами цифровой криминалистики.
В то время как традиционные IR обычно содержат ограниченное количество элементов, связанных с процессами расследования, DFIR уделяет больше внимания цифровой форензике.
DFIR — это междисциплинарный набор задач и процессов, направленных на расследование инцидента кибербезопасности. Он сочетает в себе традиционные действия по реагированию на инциденты (планирование, моделирование инцидентов и реагирования на них, документирование ИТ-архитектуры и разработку плэйбуков) с методами цифровой криминалистики.
В то время как традиционные IR обычно содержат ограниченное количество элементов, связанных с процессами расследования, DFIR уделяет больше внимания цифровой форензике.
👍1
Что такое цифровая форензика?
Цифровая форензика — это отрасль криминалистики, охватывающая цифровые технологии. Специалисты ИБ сосредоточены на восстановлении, расследовании и изучении материалов, обнаруженных на цифровых устройствах. Конечная цель — подтвердить, была ли кибератака, каково ее влияние, причина и доказательство, свидетельствующее, что инцидент произошел, что нужно предпринять, чтобы схожих инцидентов не происходило в будущем.
Как и в любом криминалистическом расследовании, скорость имеет решающее значение, особенно если атака или компрометация продолжаются. Быстрые действия могут помочь остановить активный киберинцидент.
Активный компьютер, сеть или устройство постоянно производят данные, которые могут иметь решающее значение для расследования, даже если они простаивают. Со временем возрастает риск того, что эти данные будут удалены, перезаписаны или иным образом изменены. Многие артефакты сильно зависят от состояния компьютера сразу после инцидента. Криминалистам необходимо действовать быстро, чтобы собрать всю эту информацию до того, как она будет потеряна.
Цифровая форензика — это отрасль криминалистики, охватывающая цифровые технологии. Специалисты ИБ сосредоточены на восстановлении, расследовании и изучении материалов, обнаруженных на цифровых устройствах. Конечная цель — подтвердить, была ли кибератака, каково ее влияние, причина и доказательство, свидетельствующее, что инцидент произошел, что нужно предпринять, чтобы схожих инцидентов не происходило в будущем.
Как и в любом криминалистическом расследовании, скорость имеет решающее значение, особенно если атака или компрометация продолжаются. Быстрые действия могут помочь остановить активный киберинцидент.
Активный компьютер, сеть или устройство постоянно производят данные, которые могут иметь решающее значение для расследования, даже если они простаивают. Со временем возрастает риск того, что эти данные будут удалены, перезаписаны или иным образом изменены. Многие артефакты сильно зависят от состояния компьютера сразу после инцидента. Криминалистам необходимо действовать быстро, чтобы собрать всю эту информацию до того, как она будет потеряна.
👍3
Приходите к нам на MFD 2022!
Мероприятие для всех профессионалов из индустрии информационной безопасности и сочувствующих! Спикеры подсветят тренды ИБ, инструменты для расследований корпоративных (и не только!) инцидентов, расскажут об интересных кейсах, инструментах и поделятся экспертизой. И не забываем про кулуарное общение, кучу лайфхаков и новостей с полей!
Ждем всех 15 сентября, отель «Вега Измайлово»
Ссылка и регистрация здесь:
http://events.oxygensoftware.ru/
Мероприятие для всех профессионалов из индустрии информационной безопасности и сочувствующих! Спикеры подсветят тренды ИБ, инструменты для расследований корпоративных (и не только!) инцидентов, расскажут об интересных кейсах, инструментах и поделятся экспертизой. И не забываем про кулуарное общение, кучу лайфхаков и новостей с полей!
Ждем всех 15 сентября, отель «Вега Измайлово»
Ссылка и регистрация здесь:
http://events.oxygensoftware.ru/
Что такое реакция на инцидент?
Реагирование на инциденты (IR) — это набор действий, которые компания выполняет, когда они находятся в разгаре инцидента кибербезопасности. Для целей IR киберинцидент может быть определен как любое событие, которое ставит под угрозу конфиденциальность, целостность и/или доступность информации — основные принципы информационной безопасности.
Деятельность IR, как правило, основывается на плэйбуке, разработанном для максимально быстрого резервного копирования и запуска ИТ-инфраструктуры при одновременном снижении общего ущерба от инцидента. Эти платформы предназначены для поддержки усилий по восстановлению, но в более широком смысле они также помогают организациям достичь киберзрелости и профессионализма. Это может помочь усилить защиту, в первую очередь предотвращая атаки и инциденты, затрагивающие бизнес.
Реагирование на инциденты (IR) — это набор действий, которые компания выполняет, когда они находятся в разгаре инцидента кибербезопасности. Для целей IR киберинцидент может быть определен как любое событие, которое ставит под угрозу конфиденциальность, целостность и/или доступность информации — основные принципы информационной безопасности.
Деятельность IR, как правило, основывается на плэйбуке, разработанном для максимально быстрого резервного копирования и запуска ИТ-инфраструктуры при одновременном снижении общего ущерба от инцидента. Эти платформы предназначены для поддержки усилий по восстановлению, но в более широком смысле они также помогают организациям достичь киберзрелости и профессионализма. Это может помочь усилить защиту, в первую очередь предотвращая атаки и инциденты, затрагивающие бизнес.
Почему DFIR важен для кибербезопасности?
Для компаний, у которых возник инцидент в сфере информационной безопасности, восстановление рабочих процессов является первостепенной задачей, но помимо восстановления работы важно также понять, как и почему произошел инцидент.
DFIR направлен на обеспечение более глубокого понимания картины инцидента, достигаемого с помощью всестороннего и сложного процесса расследования. Специалисты DFIR собирают и проверяют большие объемы данных, чтобы определить, кто атаковал их, как злоумышленники проникли в периметр, какие именно шаги предприняли для взлома систем и что специалисты компании могут сделать, чтобы инцидентов по схожему сценарию больше не происходило.
Эта информация также часто используется для создания судебного дела против выявленных правонарушителей. Информация собирается с использованием процесса цифровой криминалистики, который помогает следователям обнаруживать и сохранять цифровые доказательства.
Для компаний, у которых возник инцидент в сфере информационной безопасности, восстановление рабочих процессов является первостепенной задачей, но помимо восстановления работы важно также понять, как и почему произошел инцидент.
DFIR направлен на обеспечение более глубокого понимания картины инцидента, достигаемого с помощью всестороннего и сложного процесса расследования. Специалисты DFIR собирают и проверяют большие объемы данных, чтобы определить, кто атаковал их, как злоумышленники проникли в периметр, какие именно шаги предприняли для взлома систем и что специалисты компании могут сделать, чтобы инцидентов по схожему сценарию больше не происходило.
Эта информация также часто используется для создания судебного дела против выявленных правонарушителей. Информация собирается с использованием процесса цифровой криминалистики, который помогает следователям обнаруживать и сохранять цифровые доказательства.
👍2
Как доказать, что киберпреступник атаковал бизнес, и устранить последствия?
Для этого используется цифровая криминалистика и реагирование на инциденты (DFIR) — это специализированная область, посвященная выявлению, устранению и расследованию инцидентов кибербезопасности. Цифровая криминалистика включает в себя сбор, сохранение и анализ улик для составления полной и подробной картины событий. В то же время реагирование на инцидент обычно направлено на сдерживание, остановку и предотвращение атаки.
В сочетании цифровая криминалистика и реагирование на инциденты обеспечивают бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые нацелились на вашу компанию.
А учитывая, насколько дорогостоящей и разрушительной может быть всего одна атака, важно знать, как реагировать на инцидент кибербезопасности.
Для этого используется цифровая криминалистика и реагирование на инциденты (DFIR) — это специализированная область, посвященная выявлению, устранению и расследованию инцидентов кибербезопасности. Цифровая криминалистика включает в себя сбор, сохранение и анализ улик для составления полной и подробной картины событий. В то же время реагирование на инцидент обычно направлено на сдерживание, остановку и предотвращение атаки.
В сочетании цифровая криминалистика и реагирование на инциденты обеспечивают бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые нацелились на вашу компанию.
А учитывая, насколько дорогостоящей и разрушительной может быть всего одна атака, важно знать, как реагировать на инцидент кибербезопасности.