Kategorie
Bez kategorii

„Phishing”! To nie jest prawdziwa wiadomość z home.pl

25 września 2020

Abonenci serwisu hostingowego home.pl otrzymują fałszywe wezwania do opłacenia usługi. W ostatnich dniach zauważyliśmy zintensyfikowane działania oszustów, którzy podszywają się właśnie pod home.pl.

Jest to kolejny przypadek niezwykle precyzyjnego celowania oszustów w swoje, potencjalne ofiary.

Uczulamy Państwa:

– nie klikać w żaden link zawarty w takiej korespondencji (przykład i adres nadawcy poniżej)

– oznaczyć wiadomość jako SPAM lub WIDOMOŚĆ ŚMIEĆ

– dodać nadawcę do listy nadawców zablokowanych

– skasować wiadomość

– opróżnić folder KOSZ lub wiadomości USUNIĘTE.

Kategorie
Bez kategorii

Zerologon pozwala na przejęcie kontrolera domeny AD Microsoft!

21 września 2020

W zeszłym miesiącu Microsoft załatał prawdopodobnie jeden z najpoważniejszych błędów, jakie kiedykolwiek zgłoszono firmie. Luka nazwana Zerologon umożliwia atakującym infiltrację firm poprzez uzyskanie uprawnień administracyjnych, dając im dostęp do firmowych kontrolerów domeny Active Directory. Luka otrzymała maksymalną ilość punktów na skali CVSS, jednak żadne szczegóły nie zostały upublicznione przez Microsoft. Oznacza to, że użytkownicy i administratorzy IT nie wiedzieli, z jak niebezpieczną podatnością mieli do czynienia. Więcej informacji znajdziecie poniżej.

ZEROLOGON POZWALA NA PRZEJĘCIE KONTROLERA DOMENY W 3…2..1…

Przy okazji każdego Centrum Bezpieczeństwa Xopero przypominamy, jak istotne są regularne aktualizacje. Niestety, na własnej skórze mogą przekonać się o tym wszystkie organizacje, które w terminie nie zastosowały sierpniowych aktualizacji Microsoftu. Wtedy, bez większego echa załatana została luka CVE-2020-1472 (10/10) umożliwiająca podniesienie uprawnień w protokole zdalnym Netlogon (MS-NRPC).

CVE-2020-1472 (aka Zerologon) dotyczy wszystkich obsługiwanych wersji systemu Windows Server od 2008 wzwyż. Zagrożenie jest jednak największe w przypadku serwerów, które działają jako kontrolery domeny Active Directory w sieciach korporacyjnych.

Luka wynika z błędu w schemacie uwierzytelniania kryptograficznego używanego przez Netlogon Remote Protocol. Netlogon korzysta z algorytmu AES, w  trybie CFB8. Ten wykorzystuje dość często spotykany w kryptografii IV, a inżynierowie Microsoftu wymagają żeby składał się on z samych zer (!). Wystarczy 256 prób (a można próbować do woli), aby serwer zaakceptował logowanie – to powinno zająć ok…3 sekund.

Atakujący może zmienić hasło kontrolera domeny, przechowywane w usłudze AD, a następnie wykorzystać je do uzyskania poświadczeń administratora. Podatność nie wymaga posiadania żadnego konta, exploit jest szybki i działa bardzo stabilnie, dotyka wszystkich obsługiwanych serwerów Windows i umożliwia pełen dostęp do administratora domeny.

W ciągu ostatniego tygodnia opublikowano wiele proofs-of-concept (PoC), a efektywność wielu z nich została potwierdzona. Exploit ten znalazł również zastosowanie w najnowszej wersji Mimikatz.

Badacze z Secura opublikowali skrypt Pythona, który organizacje mogą wykorzystać do sprawdzenia, czy kontroler domeny jest podatny na ataki.

Zerologon – jak się chronić?

Systemy, które otrzymały sierpniową poprawkę są zabezpieczone przed atakiem. Aktualizacja kontrolerów domeny usługi Active Directory umożliwi domyślną ochronę urządzeń z systemem Windows. Pełne środki zaradcze zadziałają dopiero po wdrożeniu przez organizację trybu wymuszania kontrolera domeny, który wymaga aby wszystkie urządzenia używały bezpiecznego NRPC. Choć organizacje mogą wdrożyć go natychmiast, od 9 lutego 2021 r. kontrolery domeny zostaną domyślnie przełączone w tryb wymuszania.

Kategorie
Bez kategorii

Praca Twojego zespołu IT podczas zagrożenia wirusem Covid-19

21 września 2020

Szanowni Klienci Henwar Outsourcing. Dokładamy wszelkich starań aby w reżimie obostrzeń być do Państwa dyspozycji na 100% wg kontraktów ITO. Nasz zespół realizuje zlecenia tak aby  Państwa systemy IT umożliwiały Państwu pracę zdalną w sposób bezpieczny dla zasobów IT. Dlatego bardzo ważne jest aby wsłuchiwać się w głos konsultacji zespołu informatyków, zgłaszać swoje wątpliwości i współpracować z nami w budowie „nowej rzeczywistości”, która jeszcze bardziej nie może obejść się bez IT. Takie partnerskie podejście do rozwiązywania incydentów uspokoi Państwa firmy, że oczekując pełnej dostępności swojego IT, warto dostrzec fakt, iż w Henwar pracują bardzo oddani i zaangażowani w swoje obowiązki ludzie, poddani tej samej presji czasu w czasie Pandemii co Państwo. Życzymy Wszystkim zdrowia i pozostajemy usług!