Крупнейшая в мире Bugbounty-платформа HackerOne нагло спиздила у белорусского исследователя 25 тыс. американско-деревянных долларов (почти 1% инфляции за февраль - ой-вэй, поговорите таки нам за мировую резервную валюту) потому что он житель Белоруссии.
Инфосек общественность негодует, но, по большому счету, повлиять ни на что не может.
Остается только предполагать с высокой долей вероятности куда пойдет от HackerOne информация о выявленных в российских продуктах и сервисах уязвимостях - хорошо еще если напрямую в АНБ. Хуже - если представителям киберскакунов.
Рекомендуем всем российским компаниям немедленно отказаться от Bugbounty-программ на HackerOne и других иностранных BB-платформах. А то вас за ваши же деньги и поимеют.
С другой стороны, внятной отечественной альтернативы в области Bug Bounty до сих пор нет. Что-то там заявляли Джеты и Позитивы, последние обещали запуститься уже в этом мае, но будем посмотреть.
И в довесок - в пятницу произошел камингаут "независимого конфиденциального поискового сервиса" DuckDuckGo, который решил понизить в поисковой выдаче "сайты, распространяющие российскую пропаганду". Независимость - такая независимость. А мы в очередной раз оказались правы.
Инфосек общественность негодует, но, по большому счету, повлиять ни на что не может.
Остается только предполагать с высокой долей вероятности куда пойдет от HackerOne информация о выявленных в российских продуктах и сервисах уязвимостях - хорошо еще если напрямую в АНБ. Хуже - если представителям киберскакунов.
Рекомендуем всем российским компаниям немедленно отказаться от Bugbounty-программ на HackerOne и других иностранных BB-платформах. А то вас за ваши же деньги и поимеют.
С другой стороны, внятной отечественной альтернативы в области Bug Bounty до сих пор нет. Что-то там заявляли Джеты и Позитивы, последние обещали запуститься уже в этом мае, но будем посмотреть.
И в довесок - в пятницу произошел камингаут "независимого конфиденциального поискового сервиса" DuckDuckGo, который решил понизить в поисковой выдаче "сайты, распространяющие российскую пропаганду". Независимость - такая независимость. А мы в очередной раз оказались правы.
X (formerly Twitter)
xnwup (@xnwup) on X
Today, Hackerone took $25k from me, because I am a belarusian citizen. 1/9
И как обычно, ни дня без ransomware.
LockBit заявила, что взломала Bridgestone Americas, одного из крупнейших производителей шин, и украли данные компании. Bridgestone Americas включает более 50 производственных предприятий и 55 000 сотрудников по всей Америке.
Согласно заявлению Lockbit, украденные данные будут обнародованы 15 марта 2022 года, если не поступит выкуп. В результате инцидента 27 февраля сотрудники завода Bridgestone в Ла Вернь были отправлены по домам из-за сбоев в работе ИТ-систем. Заручившись поддержкой Accenture Security, компания Bridgestone инициировала расследование для понимания масштабов и характера инцидента.
Вместе с тем, нападение вымогателей совпало по времени с заявлением компании о прекращении своего бизнеса в России. Однозначного ответа на возможную связь двух событий нет, ведь не так давно Lockbit заявили о своем политическом нейтралитете. Но факт остается фактом, а часики на DLS на тем временем продолжают тикать.
Другими резонансными атаками также отметились Pandora gang и Vice Society, которым удалось пошифровать корпорацию DENSO и похакать аргентинский парламент соответственно.
Причем DENSO вступила на тропу ransomware не впервый раз: в декабре прошлого года мы уже сообщали о том, как в сетях крупнейшей машиностроительной корпораций в мире побывали Rook, которым удалось еще и выкрасть 1,1 Тб. На этот раз на кону вымогателей более 1,4 Тб.
Досталось и румынам. Крупнейший румынский нефтеперерабатывающий завод Rompetrol KMG International подтвердил инцидент, в результате которого компания закрыла свои веб-сайты и сервис Fill&Go. Завод Petromidia Navodari перерабатывает более 5 млн. тонн нефти в год, что делает его крупнейшим в стране. Счет в 2 млн. долларов в обмен на дешифратор и сохранение украденных данных выставили Hive. Начато расследование, ведется восстановление инфраструктуры.
LockBit заявила, что взломала Bridgestone Americas, одного из крупнейших производителей шин, и украли данные компании. Bridgestone Americas включает более 50 производственных предприятий и 55 000 сотрудников по всей Америке.
Согласно заявлению Lockbit, украденные данные будут обнародованы 15 марта 2022 года, если не поступит выкуп. В результате инцидента 27 февраля сотрудники завода Bridgestone в Ла Вернь были отправлены по домам из-за сбоев в работе ИТ-систем. Заручившись поддержкой Accenture Security, компания Bridgestone инициировала расследование для понимания масштабов и характера инцидента.
Вместе с тем, нападение вымогателей совпало по времени с заявлением компании о прекращении своего бизнеса в России. Однозначного ответа на возможную связь двух событий нет, ведь не так давно Lockbit заявили о своем политическом нейтралитете. Но факт остается фактом, а часики на DLS на тем временем продолжают тикать.
Другими резонансными атаками также отметились Pandora gang и Vice Society, которым удалось пошифровать корпорацию DENSO и похакать аргентинский парламент соответственно.
Причем DENSO вступила на тропу ransomware не впервый раз: в декабре прошлого года мы уже сообщали о том, как в сетях крупнейшей машиностроительной корпораций в мире побывали Rook, которым удалось еще и выкрасть 1,1 Тб. На этот раз на кону вымогателей более 1,4 Тб.
Досталось и румынам. Крупнейший румынский нефтеперерабатывающий завод Rompetrol KMG International подтвердил инцидент, в результате которого компания закрыла свои веб-сайты и сервис Fill&Go. Завод Petromidia Navodari перерабатывает более 5 млн. тонн нефти в год, что делает его крупнейшим в стране. Счет в 2 млн. долларов в обмен на дешифратор и сохранение украденных данных выставили Hive. Начато расследование, ведется восстановление инфраструктуры.
News Channel 5 Nashville
Bridgestone investigating possible information security breach
NASHVILLE, Tenn. (WTVF) — Some employees at Bridgestone's La Vergne plant reported being sent home Sunday morning due to a possible cyber attack.
Следующим на очереди после Samsung, NVIDIA и Mercado Libre стала компания Ubisoft, данные которой были тиснуты LAPSUS$.
Разработчик видеоигр подтвердил, что столкнулся с киберинцидентом, который привел к нарушению работы его игровых продуктов, систем и сервисов. Случилось все на прошлой неделе, когда несколько пользователей Ubisoft сообщили о проблемах с доступом к их игровому сервису, о чем сообщали 4 марта пользователи Twitter и Downdetector.
На счету компании со штаб-квартирой в Монтрее и студиями по всему миру такие видеоигры как Assassin's Creed, Far Cry, For Honor, Just Dance, Prince of Persia, Rabbids, Rayman, Tom Clancy's и Watch Dogs.
Для профилактики возможных негативных последствий гигантом игровой индустрии был инициирован масштабный сброс паролей. Предварительным расследованием никаких доказательств того, что во время инцидента была раскрыта какая-либо личная информация игроков, не получено. Компания подтверждает, что все игры и сервисы Ubisoft в настоящее время работают штатно.
О причастности Lapsus$ к инциденту в Ubisoft стало понятно после того, как первая публикация на эту тему в The Verge появилась на канале хакеров и сопровождалась смайликом с ухмылкой.
Напомним, что Lapsus$ славятся тем, что не шифруют своих жертв, вместо этого крадут конфиденциальные данные, публикацией которых шантажируют жертву, если их требования по уплате выкупа не будут исполнены.
Будем следить за ситуацией.
Тем временем по результатам завершенного LAPSUS$ опроса относительно следующей жертвы, о котором мы писали на прошлой неделе, уверенную победу одержал Vodafon, представителям которого придется в ближайшее время наблюдать как исходники будут течь в глобальную сеть.
Разработчик видеоигр подтвердил, что столкнулся с киберинцидентом, который привел к нарушению работы его игровых продуктов, систем и сервисов. Случилось все на прошлой неделе, когда несколько пользователей Ubisoft сообщили о проблемах с доступом к их игровому сервису, о чем сообщали 4 марта пользователи Twitter и Downdetector.
На счету компании со штаб-квартирой в Монтрее и студиями по всему миру такие видеоигры как Assassin's Creed, Far Cry, For Honor, Just Dance, Prince of Persia, Rabbids, Rayman, Tom Clancy's и Watch Dogs.
Для профилактики возможных негативных последствий гигантом игровой индустрии был инициирован масштабный сброс паролей. Предварительным расследованием никаких доказательств того, что во время инцидента была раскрыта какая-либо личная информация игроков, не получено. Компания подтверждает, что все игры и сервисы Ubisoft в настоящее время работают штатно.
О причастности Lapsus$ к инциденту в Ubisoft стало понятно после того, как первая публикация на эту тему в The Verge появилась на канале хакеров и сопровождалась смайликом с ухмылкой.
Напомним, что Lapsus$ славятся тем, что не шифруют своих жертв, вместо этого крадут конфиденциальные данные, публикацией которых шантажируют жертву, если их требования по уплате выкупа не будут исполнены.
Будем следить за ситуацией.
Тем временем по результатам завершенного LAPSUS$ опроса относительно следующей жертвы, о котором мы писали на прошлой неделе, уверенную победу одержал Vodafon, представителям которого придется в ближайшее время наблюдать как исходники будут течь в глобальную сеть.
Ubisoft
Ubisoft Cyber Security Incident Update
All games and services are functioning normally and there is no evidence player personal information was exposed.
Японская корпорация OMRON Corporation, которая является одним из мировых лидеров по производству электроники и средств автоматизации исправила серьезные недостатки в безопасности программного обеспечении CX-Programmer.
CX-Programmer входит в состав программного обеспечения Omron для автоматизации CX-One и предназначен для программирования и отладки программируемых логических контроллеров (ПЛК). По данным CISA, продукт используется во всем мире, в том числе в производственных критически важных секторах.
Продукт был подвержен аж пяти уязвимостям, которые могли быть использованы для удаленного выполнения кода и все они имеют оценку CVSS 7,8.
Выявленные уязвимости CX-Programmer затрагивают версию 9.76.1 и более ранние. Недостатки были обнаружены исследователем Майклом Хайнцлем, который добросовестно довел сведения до поставщика еще в мае и июне 2021 года через JPCERT/CC.
Исследователь рассказал, что уязвимости были вызваны отсутствием надлежащей проверки данных, а успешная эксплуатация могла привести к раскрытию информации или выполнению произвольного кода. Однако эксплуатация требует взаимодействия с пользователем, а именно необходимо заставить жертву открыть специально созданный файл CXP.
Исследователь выпустил рекомендации для каждой баги и присвоил им идентификаторы CVE.
На сколько нам известно пакет CX-One имеет функцию автоматического обновления и большинству пользователей не нужно предпринимать никаких действий для установки исправлений. Однако все же рекомендуем убедиться, что автоматические обновления работают корректно и вы избавили себя от потенциальных угроз.
В условиях фактически объявленной кибервойны хотим особо отметить, что безопасность промышленных систем управления (ICS) становится одним из приоритетных вопросов в сфере обеспечения ИБ в современных условиях, во многом определяющие нормальное функционирование объектов критической инфраструктуры.
Призываем всех, причастных к обеспечению инфосека АСУ ТП, обратить особое внимание на оперативное устранение выявляемых уязвимостей в их элементах, а мы, в свою очередь, постараемся своевременно давать соответствующую информацию.
Для этого с сегодняшнего дня вводим хэштеги #АСУТП и #ICS
CX-Programmer входит в состав программного обеспечения Omron для автоматизации CX-One и предназначен для программирования и отладки программируемых логических контроллеров (ПЛК). По данным CISA, продукт используется во всем мире, в том числе в производственных критически важных секторах.
Продукт был подвержен аж пяти уязвимостям, которые могли быть использованы для удаленного выполнения кода и все они имеют оценку CVSS 7,8.
Выявленные уязвимости CX-Programmer затрагивают версию 9.76.1 и более ранние. Недостатки были обнаружены исследователем Майклом Хайнцлем, который добросовестно довел сведения до поставщика еще в мае и июне 2021 года через JPCERT/CC.
Исследователь рассказал, что уязвимости были вызваны отсутствием надлежащей проверки данных, а успешная эксплуатация могла привести к раскрытию информации или выполнению произвольного кода. Однако эксплуатация требует взаимодействия с пользователем, а именно необходимо заставить жертву открыть специально созданный файл CXP.
Исследователь выпустил рекомендации для каждой баги и присвоил им идентификаторы CVE.
На сколько нам известно пакет CX-One имеет функцию автоматического обновления и большинству пользователей не нужно предпринимать никаких действий для установки исправлений. Однако все же рекомендуем убедиться, что автоматические обновления работают корректно и вы избавили себя от потенциальных угроз.
В условиях фактически объявленной кибервойны хотим особо отметить, что безопасность промышленных систем управления (ICS) становится одним из приоритетных вопросов в сфере обеспечения ИБ в современных условиях, во многом определяющие нормальное функционирование объектов критической инфраструктуры.
Призываем всех, причастных к обеспечению инфосека АСУ ТП, обратить особое внимание на оперативное устранение выявляемых уязвимостей в их элементах, а мы, в свою очередь, постараемся своевременно давать соответствующую информацию.
Для этого с сегодняшнего дня вводим хэштеги #АСУТП и #ICS
Forwarded from Хакер — Xakep.RU
Цена на годовую подписку временно снижена на 70%!
Чтобы сделать «Хакер» максимально доступным, мы объявляем о временном снижении цены до 3000 рублей. Не упусти свой шанс стать подкованным в информационной безопасности и найти работу в индустрии. Подписывайся сам, подписывай товарища, расскажи всем, кому это может быть полезно!
Подробнее о подписке: https://xakep.ru/about-magazine/
Чтобы сделать «Хакер» максимально доступным, мы объявляем о временном снижении цены до 3000 рублей. Не упусти свой шанс стать подкованным в информационной безопасности и найти работу в индустрии. Подписывайся сам, подписывай товарища, расскажи всем, кому это может быть полезно!
Подробнее о подписке: https://xakep.ru/about-magazine/
Похоже, что жара начинается и на Ближнем Востоке.
Как известно, в ночь с 12 на 13 марта Иран нанес массированный ракетный удар по объектам в иракском городе Эрбиль. Что конкретно разносили иранцы до конца не ясно, сначала говорили про американское консульство, потом про израильские военные объекты. Ответственность за удар взяли на себя КСИР (Корпус Стражей Исламской Революции), которые сообщили, что в результате атаки погибли несколько израильских генералов.
Вчера, как говорит канал Аль-Джазира, иранцы заявили, что предотвратили израильскую диверсию на ядерном объекте в городе Фордо. Целью являлись центрифуги по обогащению урана (кто сказал Stuxnet и Unit 8200?)
И вчера же Национальное управление кибербезопасности Израиля (INCD) сообщило, что были выявлены DDoS-атаки на ряд израильских провайдеров, повлекшие временную блокировку ряда сайтов, в том числе государственных - местных МВД, Министерства здравоохранения и Минюста.
INCD пишет про "кратковременные сбои", но, судя по всему, DDoS был очень масштабным и не был отбит израильтянами, а был прекращен атакующей стороной. Еврейский инфосек говорит про иранский след и прямо называет иранскую APT BlackShadow (мы уже про нее раньше писали) в качестве исполнителя атаки.
Танцуют все?
Как известно, в ночь с 12 на 13 марта Иран нанес массированный ракетный удар по объектам в иракском городе Эрбиль. Что конкретно разносили иранцы до конца не ясно, сначала говорили про американское консульство, потом про израильские военные объекты. Ответственность за удар взяли на себя КСИР (Корпус Стражей Исламской Революции), которые сообщили, что в результате атаки погибли несколько израильских генералов.
Вчера, как говорит канал Аль-Джазира, иранцы заявили, что предотвратили израильскую диверсию на ядерном объекте в городе Фордо. Целью являлись центрифуги по обогащению урана (кто сказал Stuxnet и Unit 8200?)
И вчера же Национальное управление кибербезопасности Израиля (INCD) сообщило, что были выявлены DDoS-атаки на ряд израильских провайдеров, повлекшие временную блокировку ряда сайтов, в том числе государственных - местных МВД, Министерства здравоохранения и Минюста.
INCD пишет про "кратковременные сбои", но, судя по всему, DDoS был очень масштабным и не был отбит израильтянами, а был прекращен атакующей стороной. Еврейский инфосек говорит про иранский след и прямо называет иранскую APT BlackShadow (мы уже про нее раньше писали) в качестве исполнителя атаки.
Танцуют все?
Twitter
Cyber Israel
In the past few hours, a DDoS attack against a communications provider was identified. As a result, access to several websites, among them government websites, was denied for a short time. As of now, all of the websites have returned to normal activity. @Israelgov
Работающая под торговой Viva Air Colombia колумбийская бюджетная авиакомпания Fast Colombia SAS, базирующаяся в Рионегро, Антиокия, стала жертвой атаки с использованием ransomware.
Дочерняя компания Irelandia Aviation и третья по величине авиакомпания в стране размещена на DLS вымогателей RansomEXX, ей грозит утечка в объеме 18 Гб конфиденциальных сведений.
Дочерняя компания Irelandia Aviation и третья по величине авиакомпания в стране размещена на DLS вымогателей RansomEXX, ей грозит утечка в объеме 18 Гб конфиденциальных сведений.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] RansomEXX ransomware gang has announced "Viva Air" on the victim list.
Порция обновлений от Apple вышла в понедельник с исправлением как минимум 39 дефектов безопасности на платформах iOS/iPadOS.
Причем в компании предупреждают, что некоторые из уязвимостей подвергают пользователей атакам с удаленным выполнением кода, если например пользователь iPhone откроет вредоносный файл PDF или просмотрит вредоносный веб-контент.
В дополнение к мобильным девайсам Apple выпустила обновления для macOS (включая Catalina, Big Sur, Monterey), tvOS, WatchOS, iTunes и Xcode.
Обновленные версии iOS 15.4 и iPadOS 15.4 решают многочисленные проблемы с безопасностью памяти в нескольких компонентах ОС, включая Accelerate Framework, популярный ImageIO и механизм рендеринга WebKit.
Наиболее критическими из выявленных и исправленных уязвимостей являются CVE-2022-22633 (Accelerate Framework), CVE-2022-22611 (ImageIO), CVE-2022-22610 (WebKit), CVE-2022-22624 и CVE- 2022-22628 каждая из которых могла привести к выполнению произвольного кода.
Обновления iOS и iPadOS также устраняют недостатки повреждения памяти в нескольких программных компонентах ОС, включая AVEVideoEncoder, CoreMedia, FaceTime, драйверы графического процессора, iTunes, ядре, Sandbox, Siri и ПО для обновления.
Причем в компании предупреждают, что некоторые из уязвимостей подвергают пользователей атакам с удаленным выполнением кода, если например пользователь iPhone откроет вредоносный файл PDF или просмотрит вредоносный веб-контент.
В дополнение к мобильным девайсам Apple выпустила обновления для macOS (включая Catalina, Big Sur, Monterey), tvOS, WatchOS, iTunes и Xcode.
Обновленные версии iOS 15.4 и iPadOS 15.4 решают многочисленные проблемы с безопасностью памяти в нескольких компонентах ОС, включая Accelerate Framework, популярный ImageIO и механизм рендеринга WebKit.
Наиболее критическими из выявленных и исправленных уязвимостей являются CVE-2022-22633 (Accelerate Framework), CVE-2022-22611 (ImageIO), CVE-2022-22610 (WebKit), CVE-2022-22624 и CVE- 2022-22628 каждая из которых могла привести к выполнению произвольного кода.
Обновления iOS и iPadOS также устраняют недостатки повреждения памяти в нескольких программных компонентах ОС, включая AVEVideoEncoder, CoreMedia, FaceTime, драйверы графического процессора, iTunes, ядре, Sandbox, Siri и ПО для обновления.
Apple Support
Выпуски безопасности Apple - Служба поддержки Apple (RU)
В этом документе перечислены обновления системы безопасности и быстрые ответы на угрозы для программного обеспечения Apple.
Тайваньский производитель оборудования QNAP сообщает об очередной уязвимости, которой подтверждены ее устройства Network Attached Storage (NAS).
Ошибка Linux, получившая название Dirty Pipe, позволяет злоумышленникам с локальным доступом получить привилегии root. Dirty Pipe затрагивает ядро Linux 5.8 и более поздние версии, даже на устройствах Android.
В случае успешной эксплуатации позволяет непривилегированным пользователям внедрять и перезаписывать данные в файлы, доступные только для чтения, включая процессы SUID, которые запускаются от имени пользователя root.
Ошибка затрагивает устройства с QTS 5.0.x и QuTS hero h5.0.x, в том числе: QTS 5.0.x на всех NAS на базе QNAP x86 и некоторых NAS на базе QNAP ARM и QuTS hero h5.0.x на всех NAS на базе QNAP x86 и некоторых NAS на базе QNAP ARM. При этом QNAP отмечает, что ни одно из ее устройств NAS, работающих под управлением QTS 4.x, не подвержено атакам.
Обнаруживший ошибку исследователь Макс Келлерманн уже выпустил соответсвующий PoC. И как оказалось, уязвимость Linux реализуется на практике даже проще, чем ее аналог Dirty COW, которая в 2016 году активно применялась для рутирования устройств Android и внедрения бэкдоров.
Несмотря на вышедшее неделю назад исправление для версий 5.16.11, 5.15.25 и 5.10.102, QNAP настоятельно рекомендует клиентам подождать, пока компания не выпустит собственные обновления. В настоящее время для этой уязвимости нет доступных средств защиты.
Пока же QNAP переложил функции по обеспечению безопасности устройств на самих владельцев устройств NAS, подключенных к Интернету, порекомендовав отключить функции переадресации портов маршрутизатора и UPnP QNAP NAS, ожидая спасительных обновлений для устранения уязвимости Dirty Pipe.
QNAP также не скупился на подробные инструкции по отключению подключений SSH и Telnet и изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.
Но, учитывая совсем недавние баталии производителя с ransomware, владельцы устройств рискуют первее ознакомиться с инструкциями по выплате выкупа и работе с дешифратором.
Ошибка Linux, получившая название Dirty Pipe, позволяет злоумышленникам с локальным доступом получить привилегии root. Dirty Pipe затрагивает ядро Linux 5.8 и более поздние версии, даже на устройствах Android.
В случае успешной эксплуатации позволяет непривилегированным пользователям внедрять и перезаписывать данные в файлы, доступные только для чтения, включая процессы SUID, которые запускаются от имени пользователя root.
Ошибка затрагивает устройства с QTS 5.0.x и QuTS hero h5.0.x, в том числе: QTS 5.0.x на всех NAS на базе QNAP x86 и некоторых NAS на базе QNAP ARM и QuTS hero h5.0.x на всех NAS на базе QNAP x86 и некоторых NAS на базе QNAP ARM. При этом QNAP отмечает, что ни одно из ее устройств NAS, работающих под управлением QTS 4.x, не подвержено атакам.
Обнаруживший ошибку исследователь Макс Келлерманн уже выпустил соответсвующий PoC. И как оказалось, уязвимость Linux реализуется на практике даже проще, чем ее аналог Dirty COW, которая в 2016 году активно применялась для рутирования устройств Android и внедрения бэкдоров.
Несмотря на вышедшее неделю назад исправление для версий 5.16.11, 5.15.25 и 5.10.102, QNAP настоятельно рекомендует клиентам подождать, пока компания не выпустит собственные обновления. В настоящее время для этой уязвимости нет доступных средств защиты.
Пока же QNAP переложил функции по обеспечению безопасности устройств на самих владельцев устройств NAS, подключенных к Интернету, порекомендовав отключить функции переадресации портов маршрутизатора и UPnP QNAP NAS, ожидая спасительных обновлений для устранения уязвимости Dirty Pipe.
QNAP также не скупился на подробные инструкции по отключению подключений SSH и Telnet и изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.
Но, учитывая совсем недавние баталии производителя с ransomware, владельцы устройств рискуют первее ознакомиться с инструкциями по выплате выкупа и работе с дешифратором.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Local Privilege Escalation Vulnerability in Linux (Dirty Pipe) - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
- Партнёрский пост -
ИССЛЕДОВАНИЕ ИГРОКОВ ИБ-РЫНКА
https://cisoclub.ru/vote/
CISOCLUB проводит онлайн-исследование основных игроков рынка информационной безопасности. Нам важен каждый голос. Пожалуйста, уделите 5 минут своего времени и пройдите опрос.
По окончанию онлайн-исследования мы выберем 6 случайных участников и подарим им сертификаты на 4 000 рублей.
🔥 Подписывайтесь на CISOCLUB
ИССЛЕДОВАНИЕ ИГРОКОВ ИБ-РЫНКА
https://cisoclub.ru/vote/
CISOCLUB проводит онлайн-исследование основных игроков рынка информационной безопасности. Нам важен каждый голос. Пожалуйста, уделите 5 минут своего времени и пройдите опрос.
По окончанию онлайн-исследования мы выберем 6 случайных участников и подарим им сертификаты на 4 000 рублей.
🔥 Подписывайтесь на CISOCLUB
Вчера Федеральное управление по информационной безопасности Германии (BSI) распространило пресс-релиз, в котором призвало немецкие организации заменить антивирусные продукты Лаборатории Касперского на альтернативное ПО.
В качестве обоснования BSI указывает риски проведения кибератак посредством антивирусов от ЛК.
Для Касперских в частности, да и для российского инфосека вообще, подобные санкции не в новинку. Достаточно вспомнить запрет на поставку ПО Лаборатории в США, который был введен в 2019 году, или прошлогодние санкции от тех же американцев против Positive Technologies.
Полагаем, что история с санкционным давлением на российских производителей ПО на этом не закончится, равно как и считаем, что для них это не смертельно.
Но, Матка Боска, как же у нас бомбит от такого лицемерия. Не припомним, чтобы BSI выдавало какие-либо рекомендации по прекращению использования продукции американской Juniper, когда в 2015 году выяснилось, что АНБ вставляет свои бэкдоры в ее продукцию.
С другой стороны, мы прекрасно понимаем, что BSI - это такой же боннский филиал ЦРУ и АНБ, как и немецкая разведка BND, владевшая, кстати, на протяжении почти 50 лет совместно с американской разведкой швейцарской компанией Crypto AG, которая поставляла криптооборудование более чем в 100 стран мира, в том числе в правительственные структуры.
При всем этом российские инфосек вендоры никогда не давали ни малейшего повода усомниться в их порядочности.
Пожелаем им выдержки.
В качестве обоснования BSI указывает риски проведения кибератак посредством антивирусов от ЛК.
Для Касперских в частности, да и для российского инфосека вообще, подобные санкции не в новинку. Достаточно вспомнить запрет на поставку ПО Лаборатории в США, который был введен в 2019 году, или прошлогодние санкции от тех же американцев против Positive Technologies.
Полагаем, что история с санкционным давлением на российских производителей ПО на этом не закончится, равно как и считаем, что для них это не смертельно.
Но, Матка Боска, как же у нас бомбит от такого лицемерия. Не припомним, чтобы BSI выдавало какие-либо рекомендации по прекращению использования продукции американской Juniper, когда в 2015 году выяснилось, что АНБ вставляет свои бэкдоры в ее продукцию.
С другой стороны, мы прекрасно понимаем, что BSI - это такой же боннский филиал ЦРУ и АНБ, как и немецкая разведка BND, владевшая, кстати, на протяжении почти 50 лет совместно с американской разведкой швейцарской компанией Crypto AG, которая поставляла криптооборудование более чем в 100 стран мира, в том числе в правительственные структуры.
При всем этом российские инфосек вендоры никогда не давали ни малейшего повода усомниться в их порядочности.
Пожелаем им выдержки.
Forwarded from Russian OSINT
🇺🇸 Агентство национальной безопасности США использовало секретный троян NOPEN для кражи данных по всему миру пишет The Global Times
Специалисты 🇨🇳Китайского Центра Экстренного Реагирования на Киберугрозы успешно задетектили АНБшный троян, который длительное время умело скрывался на компьютерах своих жертв по всему миру. Волшебный конь похищал конфиденциальную информацию, добывал огромное количество информации о пользователях в сети и даже контролировал часть оборудования на глобальном уровне.
Согласно отчету исследователей, троянец "NOPEN" представляет собой средство удаленного управления на системах Unix/Linux. В основном он используется для кражи файлов, получения доступа к системам, перенаправления сетевых коммуникаций и просмотра информации о целевом устройстве жертвы. Также способен взаимодействовать с другими видами кибероружия, являясь типичным инструментом для кибершпионажа.
Спецы связывают NOPEN с АНБ на основании тех данных, которые оказались у них в результате утечки хакеров Shadow Brokers. Утверждается, что NOPEN является одним из самых серьёзных видов кибероружия на сегодняшний день. Подобный арсенал может использоваться сверхсекретным подразделением АНБ Tailored Access Operations для кибератак и кражи секретов.
"According to internal NSA documents leaked by hacking group Shadow Brokers, "NOPEN" is one of the powerful weapons used by the NSA's Tailored Access Operations (TAO) to attack and steal secrets"
🇺🇸 АНБ в течение последних 10 лет осуществляли кибератаки в отношении 47 стран мира. Приоритетными целями являлись китайское правительство, IT-компании и военные институты 🇨🇳Китайской Народной Республики.
Специалисты 🇨🇳Китайского Центра Экстренного Реагирования на Киберугрозы успешно задетектили АНБшный троян, который длительное время умело скрывался на компьютерах своих жертв по всему миру. Волшебный конь похищал конфиденциальную информацию, добывал огромное количество информации о пользователях в сети и даже контролировал часть оборудования на глобальном уровне.
Согласно отчету исследователей, троянец "NOPEN" представляет собой средство удаленного управления на системах Unix/Linux. В основном он используется для кражи файлов, получения доступа к системам, перенаправления сетевых коммуникаций и просмотра информации о целевом устройстве жертвы. Также способен взаимодействовать с другими видами кибероружия, являясь типичным инструментом для кибершпионажа.
Спецы связывают NOPEN с АНБ на основании тех данных, которые оказались у них в результате утечки хакеров Shadow Brokers. Утверждается, что NOPEN является одним из самых серьёзных видов кибероружия на сегодняшний день. Подобный арсенал может использоваться сверхсекретным подразделением АНБ Tailored Access Operations для кибератак и кражи секретов.
"According to internal NSA documents leaked by hacking group Shadow Brokers, "NOPEN" is one of the powerful weapons used by the NSA's Tailored Access Operations (TAO) to attack and steal secrets"
🇺🇸 АНБ в течение последних 10 лет осуществляли кибератаки в отношении 47 стран мира. Приоритетными целями являлись китайское правительство, IT-компании и военные институты 🇨🇳Китайской Народной Республики.
Исследователи из компании DevSecOps JFrog обнаружили уязвимости в популярной системе управления базами данных с открытым исходным кодом ClickHouse OLAP. Случилось это сразу после того, как JFrog раскрыл подробности другой серьезной уязвимости безопасности в Apache Cassandra (CVE-2021-44521 с оценкой CVSS: 8,4), приводящей к RCE на уязвимом сервере.
Технология ClickHouse была впервые разработана более 10 лет назад в Яндексе. Штаб-квартира ClickHouse Inc. находится в Калифорнийском заливе, США, а дочерняя компания ClickHouse BV базируется в Амстердаме, Нидерланды.
С тех пор как в 2016 году проект ClickHouse был выпущен как ОП с открытым исходным кодом под лицензией Apache 2 его популярность росла в геометрической прогрессии, о чем свидетельствует его внедрение в Uber, Comcast, eBay и Cisco.
ClickHouse также был реализован в CERN LHCb для хранения и обработки метаданных о 10 миллиардах событий с более чем 1000 атрибутов для каждого события.
Выявленные в ClickHouse недостатки могут быть использованы для вызова сбоев в работе серверов, утечки содержимого памяти и даже выполнения произвольного кода. При этом их эксплуатация требуют аутентификации, но также могут быть активированы любым пользователем с правами на чтение, то есть даже с самыми низкими привилегиями.
Среди выявленных ошибок следующие:
Злоумышленник может воспользоваться любым из вышеупомянутых недостатков, используя специально созданный сжатый файл для сбоя уязвимого сервера базы данных. В связи с чем настоятельно рекомендуем пользователям ClickHouse поскорее обновиться до версии v21.10.2.15-stable или выше во избежание вышеперечисленных проблем.
Технология ClickHouse была впервые разработана более 10 лет назад в Яндексе. Штаб-квартира ClickHouse Inc. находится в Калифорнийском заливе, США, а дочерняя компания ClickHouse BV базируется в Амстердаме, Нидерланды.
С тех пор как в 2016 году проект ClickHouse был выпущен как ОП с открытым исходным кодом под лицензией Apache 2 его популярность росла в геометрической прогрессии, о чем свидетельствует его внедрение в Uber, Comcast, eBay и Cisco.
ClickHouse также был реализован в CERN LHCb для хранения и обработки метаданных о 10 миллиардах событий с более чем 1000 атрибутов для каждого события.
Выявленные в ClickHouse недостатки могут быть использованы для вызова сбоев в работе серверов, утечки содержимого памяти и даже выполнения произвольного кода. При этом их эксплуатация требуют аутентификации, но также могут быть активированы любым пользователем с правами на чтение, то есть даже с самыми низкими привилегиями.
Среди выявленных ошибок следующие:
• CVE-2021-43304 и CVE-2021-43305 (оценка CVSS: 8,8) — недостатки переполнения буфера кучи в кодеке сжатия LZ4, которые могут привести к удаленному выполнению кода. • CVE-2021-42387 и CVE-2021-42388 (оценка CVSS: 7,1) — ошибка чтения за пределами кучи в кодеке сжатия LZ4, которая может привести к отказу в обслуживании или утечке информации. • CVE-2021-42389 (оценка CVSS: 6,5) — ошибка деления на ноль в кодеке сжатия Delta, которая может привести к отказу в обслуживании. • CVE-2021-42390 (оценка CVSS: 6,5) — ошибка деления на ноль в кодеке сжатия DeltaDouble, которая может привести к отказу в обслуживании. • CVE-2021-42391 (оценка CVSS: 6,5) — ошибка деления на ноль в кодеке сжатия Gorilla, которая может привести к отказу в обслуживании.Злоумышленник может воспользоваться любым из вышеупомянутых недостатков, используя специально созданный сжатый файл для сбоя уязвимого сервера базы данных. В связи с чем настоятельно рекомендуем пользователям ClickHouse поскорее обновиться до версии v21.10.2.15-stable или выше во избежание вышеперечисленных проблем.
JFrog
7 RCE and DoS vulnerabilities Found in ClickHouse DBMS
JFrog’s Security Research team discovered 7 vulnerabilities in the ClickHouse database management software. Learn about the issues and how to mitigate the risks.
Cybernews "радует" нас сенсационными материалами о том, как украинские государственные хакеры и сочувствующие им инфосек эксперты отважно ломают объекты российской инфраструктуры.
Особо сокрушительный удар нанесла изощренная атака хакера Spielerkid89, который через Shodan нашел незакрытый рабочий стол VNC в "ключевом", как пишут журналисты, российском ведомстве - Министерстве здравоохранения Омской области и сделал скриншот.
Режим затрещал и накренился.
А ведь когда-то Cybernews были неплохим инфосек изданием...
Особо сокрушительный удар нанесла изощренная атака хакера Spielerkid89, который через Shodan нашел незакрытый рабочий стол VNC в "ключевом", как пишут журналисты, российском ведомстве - Министерстве здравоохранения Омской области и сделал скриншот.
Режим затрещал и накренился.
А ведь когда-то Cybernews были неплохим инфосек изданием...
Cybernews
Hacker breaches key Russian ministry in blink of an eye
In mere seconds, a hacker remotely accessed a computer belonging to a regional Ministry of Health in Russia, taking advantage of sloppy cybersecurity practices to expose its entire network.
В OpenSSL устранили серьезную багу, отслеживаемую как CVE-2022-0778 .
Обновления устраняют угрозу отказа в обслуживании (DoS), которая влияет на функцию BN mod sqrt(), используемую при анализе сертификата. Уязвимость обнаружил известный исследователь Тэвис Орманди из Google Project Zero.
Функция BN mod sqrt() вычисляет модуль квадратного корня и содержит ошибку, из-за которой она может вечно зацикливаться. Внутри эта функция используется при анализе сертификатов, содержащих открытые ключи эллиптической кривой в сжатой форме или явные параметры эллиптической кривой с базовой точкой, закодированной в сжатой форме. Таким образом можно запустить бесконечный цикл, создав сертификат с недопустимыми явными параметрами кривой, что собственно приведет к отказу.
Уязвимость затрагивает OpenSSL версий 1.0.2, 1.1.1 и 3.0 и недостатки уже устранены в новых версиях. Однако те, у кого OpenSSL 1.1.0, рекомендуем перейти на более свежие версии так как эта больше не поддерживается и не получает обновлений.
Обновления устраняют угрозу отказа в обслуживании (DoS), которая влияет на функцию BN mod sqrt(), используемую при анализе сертификата. Уязвимость обнаружил известный исследователь Тэвис Орманди из Google Project Zero.
Функция BN mod sqrt() вычисляет модуль квадратного корня и содержит ошибку, из-за которой она может вечно зацикливаться. Внутри эта функция используется при анализе сертификатов, содержащих открытые ключи эллиптической кривой в сжатой форме или явные параметры эллиптической кривой с базовой точкой, закодированной в сжатой форме. Таким образом можно запустить бесконечный цикл, создав сертификат с недопустимыми явными параметрами кривой, что собственно приведет к отказу.
Уязвимость затрагивает OpenSSL версий 1.0.2, 1.1.1 и 3.0 и недостатки уже устранены в новых версиях. Однако те, у кого OpenSSL 1.1.0, рекомендуем перейти на более свежие версии так как эта больше не поддерживается и не получает обновлений.
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова (securitylab.ru). Выпуск #52
— В пятьдесят втором выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Безопасность сетей на базе Linux". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=tKjaaPrjXno
— В пятьдесят втором выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Безопасность сетей на базе Linux". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=tKjaaPrjXno
YouTube
Россию отключают от интернета? 190 ГБ данных похищено у Samsung. Security-новости #52 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях что-нибудь позитивное)
1:20 Обнаружена уязвимость…
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях что-нибудь позитивное)
1:20 Обнаружена уязвимость…
Google выкатили ежемесячные обновления Chrome 99, которые устраняют критическую уязвимость, обнаруженную исследователем Сергеем Глазуновым из Google Project Zero.
Отметим, что Google довольно таки не часто присваивает ошибкам Chrome критический рейтинг серьезности. За прошедший год было выпущено всего лишь 4 патча для Chrome, которые устраняли критические баги, причем 2 из них были также выявлены Глазуновым.
Критическая уязвимость CVE-2022-0971 характеризуется как проблема использования после освобождения, влияющая на Blink Layout.
Последнее обновление Chrome включает 11 исправлений безопасности, в том числе 8 с рейтингом «высокой серьезности». Эти недостатки могут привести к выходу из песочницы или удаленному выполнению кода, и в массе своей связаны с использованием после освобождения.
Как стало известно, Google по этому поводу расщедрилась на 40 000 долларов, которые пошли на выплату гонораров сторонним исследователям, поучаствовавшим в обнаружении исправленных этим обновлением дыр. Вообще же компания в прошлом году выплатила почти 9 млн. долларов в виде вознаграждений за обнаружение ошибок, в том числе около 3,1 миллиона долларов за уязвимости Chrome.
В целом, уязвимости Chrome стали все чаще эксплуатироваться в дикой природе: в 2021 году число таких 0-day составило 14, что намного опережает аналогичные показатели других популярных веб-браузеров, что делает Chrome мегавостребованным браузером среди хакеров.
Отметим, что Google довольно таки не часто присваивает ошибкам Chrome критический рейтинг серьезности. За прошедший год было выпущено всего лишь 4 патча для Chrome, которые устраняли критические баги, причем 2 из них были также выявлены Глазуновым.
Критическая уязвимость CVE-2022-0971 характеризуется как проблема использования после освобождения, влияющая на Blink Layout.
Последнее обновление Chrome включает 11 исправлений безопасности, в том числе 8 с рейтингом «высокой серьезности». Эти недостатки могут привести к выходу из песочницы или удаленному выполнению кода, и в массе своей связаны с использованием после освобождения.
Как стало известно, Google по этому поводу расщедрилась на 40 000 долларов, которые пошли на выплату гонораров сторонним исследователям, поучаствовавшим в обнаружении исправленных этим обновлением дыр. Вообще же компания в прошлом году выплатила почти 9 млн. долларов в виде вознаграждений за обнаружение ошибок, в том числе около 3,1 миллиона долларов за уязвимости Chrome.
В целом, уязвимости Chrome стали все чаще эксплуатироваться в дикой природе: в 2021 году число таких 0-day составило 14, что намного опережает аналогичные показатели других популярных веб-браузеров, что делает Chrome мегавостребованным браузером среди хакеров.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 99.0.4844.74 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list o...
Команда CrowdStrike Cloud Threat Research сообщила о серьезной уязвимости в контейнерном движке CRI-O Container Engine для Kubernetes, которая может быть использована для выхода из контейнера и получения root-доступа к хосту.
CRI-O – это основанная на OCI (Open Container Initiative) реализация Kubernetes Container Runtime Interface (CRI), представляющая собой облегченную среду выполнения контейнеров для Kubernetes и предназначенная для интеграции между средами выполнения, совместимыми с OCI, и kubelet.
Получившая название cr8escape и отслеживаемая как CVE-2022-0811 уязвимость вызвана отсутствием надлежащей проверки параметров ядра, передаваемых утилите pinns. Проблема возникла в CRI-O версии 1.19, когда в механизм контейнеров была добавлена поддержка sysctl, а злоумышленник получил возможность злоупотреблять параметром kernel.core_pattern для обеспечения выхода из контейнера.
Оценка CVE составляет 8,8 (высокая), а потенциальное воздействие широко распространено, поскольку многие программы и платформы используют CRI-O по умолчанию.
Злоумышленник благодаря cr8escape помимо выполнения вредоносных программ и эксфильтрации данных, может выйти из контейнера Kubernetes, получить root-доступ к хосту и иметь возможность горизонтального перемещения в кластере. Для эксплуатации уязвимости требуются права на развертывание модуля в кластере Kubernetes, который использует среду выполнения CRI-O.
CrowdStrke также представили POC, который использует вредоносный PodSpec для установки параметра ядра kernel.core_pattern, запуская под root двоичный файл, размещенный в другом модуле.
Уязвимость исправлена, пользователям рекомендуется обновиться до последней версии CRI-O v1.23.2, чтобы предотвратить потенциальные атаки. Или же можно откатиться до CRI-O версии 1.18 или более ранней.
CRI-O – это основанная на OCI (Open Container Initiative) реализация Kubernetes Container Runtime Interface (CRI), представляющая собой облегченную среду выполнения контейнеров для Kubernetes и предназначенная для интеграции между средами выполнения, совместимыми с OCI, и kubelet.
Получившая название cr8escape и отслеживаемая как CVE-2022-0811 уязвимость вызвана отсутствием надлежащей проверки параметров ядра, передаваемых утилите pinns. Проблема возникла в CRI-O версии 1.19, когда в механизм контейнеров была добавлена поддержка sysctl, а злоумышленник получил возможность злоупотреблять параметром kernel.core_pattern для обеспечения выхода из контейнера.
Оценка CVE составляет 8,8 (высокая), а потенциальное воздействие широко распространено, поскольку многие программы и платформы используют CRI-O по умолчанию.
Злоумышленник благодаря cr8escape помимо выполнения вредоносных программ и эксфильтрации данных, может выйти из контейнера Kubernetes, получить root-доступ к хосту и иметь возможность горизонтального перемещения в кластере. Для эксплуатации уязвимости требуются права на развертывание модуля в кластере Kubernetes, который использует среду выполнения CRI-O.
CrowdStrke также представили POC, который использует вредоносный PodSpec для установки параметра ядра kernel.core_pattern, запуская под root двоичный файл, размещенный в другом модуле.
Уязвимость исправлена, пользователям рекомендуется обновиться до последней версии CRI-O v1.23.2, чтобы предотвратить потенциальные атаки. Или же можно откатиться до CRI-O версии 1.18 или более ранней.
Исследователи из Microsoft обнаружили угрозы безопасности в маршрутизаторах MikroTik, которые используются в качестве прокси для связи с командным центром (С2) малвари Trickbot.
Как мы помним, Trickbot — это модульный троян, который существует с 2016 года и претерпел множество модификаций. Его модульная архитектура позволяет ему адаптироваться под различные сети и устройства, в связи чем малварь активно используется киберпреступниками для доставки программ-вымогателей или других вредоносных программ.
Как не старались инфосек специалисты вывести из строя ботнет Trickbot поптыки были лишь частично успешными, так что ботнет продолжает жить. Его администраторы постоянно пробуют новые фичи чтобы оставаться в зараженных системах и поддерживать бесперебойную связь с серверами C2.
Их последняя фишка как раз таки заключается в компрометации маршрутизаторов MikroTik, путем проверки дефолтных паролей или брутфорсом, либо применяется уязвимость в RouterOS CVE-2018-14847.
На следующем этапе злоумышленники запускают команду преобразования сетевых адресов (NAT), которая предназначена для перенаправления трафика между портами 449 и 80 в маршрутизаторе, устанавливая путь для зараженных TrickBot хостов для связи с сервером C2.
Увы использование маршрутизаторов MikroTik только в качестве прокси это меньшее из зол по сравнению с криптоджекингом, перехватом трафика, размещением вредоносных сайтов, рекламы, и участия в DDoS-атаках. Про то что могут проникнуть в сеть и пошифровать все и напоминать не хочется.
Собственно, проблема с атаками на маршрутизаторы стара как мир и пренебрежение своевременным обновлением и использование слабых паролей может привести к печальным последствиям.
Как мы помним, Trickbot — это модульный троян, который существует с 2016 года и претерпел множество модификаций. Его модульная архитектура позволяет ему адаптироваться под различные сети и устройства, в связи чем малварь активно используется киберпреступниками для доставки программ-вымогателей или других вредоносных программ.
Как не старались инфосек специалисты вывести из строя ботнет Trickbot поптыки были лишь частично успешными, так что ботнет продолжает жить. Его администраторы постоянно пробуют новые фичи чтобы оставаться в зараженных системах и поддерживать бесперебойную связь с серверами C2.
Их последняя фишка как раз таки заключается в компрометации маршрутизаторов MikroTik, путем проверки дефолтных паролей или брутфорсом, либо применяется уязвимость в RouterOS CVE-2018-14847.
На следующем этапе злоумышленники запускают команду преобразования сетевых адресов (NAT), которая предназначена для перенаправления трафика между портами 449 и 80 в маршрутизаторе, устанавливая путь для зараженных TrickBot хостов для связи с сервером C2.
Увы использование маршрутизаторов MikroTik только в качестве прокси это меньшее из зол по сравнению с криптоджекингом, перехватом трафика, размещением вредоносных сайтов, рекламы, и участия в DDoS-атаках. Про то что могут проникнуть в сеть и пошифровать все и напоминать не хочется.
Собственно, проблема с атаками на маршрутизаторы стара как мир и пренебрежение своевременным обновлением и использование слабых паролей может привести к печальным последствиям.
Microsoft Defender for Endpoint детектирует обновления Office как активность ransomware.
Все началось с утра 16 марта, когда системные администраторы Windows столкнулись с волной ложных срабатываний, которые уведомляли об обнаружении программ-вымогателей в файловой системе, которым на деле оказался OfficeSvcMgr.exe.
Основной причиной ложных срабатываний стало недавно развернутое обновление в компонентах службы для обнаружения предупреждений о ransomware. Разработчики Microsoft подтвердили дефекты софта и развернули обновление кода, чтобы предотвратить появление новых предупреждений и удалить предыдущие ложные срабатывания.
Пожалуй, это все, что нужно знать о Microsoft Defender.
Все началось с утра 16 марта, когда системные администраторы Windows столкнулись с волной ложных срабатываний, которые уведомляли об обнаружении программ-вымогателей в файловой системе, которым на деле оказался OfficeSvcMgr.exe.
Основной причиной ложных срабатываний стало недавно развернутое обновление в компонентах службы для обнаружения предупреждений о ransomware. Разработчики Microsoft подтвердили дефекты софта и развернули обновление кода, чтобы предотвратить появление новых предупреждений и удалить предыдущие ложные срабатывания.
Пожалуй, это все, что нужно знать о Microsoft Defender.
Twitter
Bones 🏳️🌈
Hey @msftsecurity @msftsecresponse why is defender false flagging freaking office files as Ransomware......