Miesiąc: wrzesień 2021

Jeżeli dostałeś SMS’a od nadawcy „”Kwarantanna” o treści:

“Zostałeś skierowany do odbycia 10-dniowej kwarantanny z powodu zakażenia w Twoim najbliższym otoczeniu.

Więcej informacji na stronie https: //cutt. ly /xxx”.

ZIGNORUJ TEGO SMS-a!!

Otwarcie strony https: //cutt. ly /xxx” nie powinno zainfekować urządzenia

𝐧𝐢𝐞𝐛𝐞𝐳𝐩𝐢𝐞𝐜𝐳𝐧𝐞 𝐣𝐞𝐬𝐭 𝐧𝐚𝐭𝐨𝐦𝐢𝐚𝐬𝐭 𝐩𝐨𝐛𝐫𝐚𝐧𝐢𝐞 𝐳 𝐧𝐢𝐞𝐣 𝐚𝐩𝐥𝐢𝐤𝐚𝐜𝐣𝐢 “𝐅𝐥𝐚𝐬𝐡 𝐏𝐥𝐚𝐲𝐞𝐫”

Jest to jeden z największych ataków phishingowych – możliwe, że dotyczy nawet kilkuset tysięcy rozesłanych wiadomości.

Na ten atak są narażone wyłączenie smartfony z Androidem.

Do czego prowadzi strona podana w SMS od “Kwarantanna”?

Otwarcie strony samo w sobie nie powinno zainfekować urządzenia.

Niebezpieczne jest natomiast pobranie z niej aplikacji “Flash Player”.

• Wiąże się to z zainstalowaniem oprogramowania, które zapisuje wszystkie czynności użytkownika telefonu (łącznie z danymi logowania do banków), co w efekcie może skutkować włamaniem do bankowości elektronicznej.
• Jeśli zainstalowałeś aplikację z fałszywego SMS-a o nałożeniu kwarantanny – koniecznie wyłącz urządzenie i skontaktuj się ze swoim bankiem.

Podczas logowania w przeglądarce internetowej:

• Twórz silne hasła do konta, skrzynki email’i innych serwisów i nie ustawiaj wszędzie tego samego hasła.
• Dane do logowania i autoryzacji transakcji powinny być znane tylko Tobie!
• Nie loguj się do konta na nieznanych lub cudzych komputerach czy telefonach.

Kiedy płacisz za zakupy lub usługi online:

• Sprawdź, czy sklep jest godny zaufania, np. poszukaj opinii innych klientów sklepu na niezależnych portalach.
• Czytaj uważnie powiadomienia autoryzacyjne i sprawdź szczegóły transakcji, zanim ją potwierdzisz.
• Nie wysyłaj nikomu zdjęć lub skanu swojej karty płatniczej – dane z karty mogą być wykorzystane do wykonania transakcji w Internecie!

Na co dzień:

• Nie klikaj w linki w wiadomościach email czy SMS i nie pobieraj nieznanych aplikacji i załączników, zwłaszcza jeśli nie znasz nadawcy.
•  Kiedy „znajomy” wyśle Ci link do płatności lub poprosi o kod BLIK na portalu społecznościowym zadzwoń do niego i potwierdź, czy to rzeczywiście on do Ciebie pisze.
• Oddajesz urządzenie do naprawy poza serwisem HENWAR? Odinstaluj ważne aplikacje i usuń dokumenty z danymi.

Kiedy potrzebujesz pomocy:

• Jeśli stracisz telefon lub laptop z zainstalowaną aplikacją i swoimi danymi, możesz spróbować dezaktywować go przez infolinię HENWAR (efekt zależy od szczegółów kontraktu ITO).
• Kartę płatniczą możesz szybko zastrzec lub zablokować tymczasowo w swoim banku lub aplikacji mobilnej.
• Jeśli Twój komputer lub telefon zostanie zainfekowany złośliwym oprogramowaniem NATYCHMIAST ZGŁOŚC TO NA HELPDESK HENWAR.

Incydent odkryli eksperci z firmy zajmującej się bezpieczeństwem Huntress Labs. Z powodu często występujących ataków (zaraz po opublikowaniu exploita PoC na początku tego miesiąca) zaczęli monitorować problem i skanować sieć w poszukiwaniu podatnych na ataki serwery.
Odkryli też ścieżki na serwerach, które zawierają złośliwe WebShell:

Zhackowano ponad 2000 serwerów Exchange

Podczas skanowania badacze wykryli, że hackerzy włamali się do wszystkich z 2000 zhackowanych serwerów Microsoft Exchange za pośrednictwem luki ProxyShell, ale nie tylko. Zaleźli na tych serwerach ponad 140 różnych powłok internetowych!
Wszystkie zhackowane serwery Exchange były własnością kilku organizacji, takich jak:

Sytuacja jeszcze bardziej się pogorszyła, gdy użytkownik o pseudonimie “marmalade_knight” rosyjskojęzycznego forum hackerskiego opublikował na nim listę ponad 100 000 serwerów Exchange dostępnych przez Internet.

ProxyShell

ProxyShell to błąd Microsoft Exchange, który został początkowo odkryty przez Orange Tsai, tajwańskiego badacza bezpieczeństwa. W kwietniu tego roku podczas konkursu hackerskiego Pwn2Own 2021 Tsai zarobił 200 000 $ za udany atak na serwer przy użyciu exploita ProxyShell.
Według niego ProxyShell jest atakiem złożonym z łańcucha trzech innych ataków:

Od środka luka bezpieczeństwa ProxyShell składa się z trzech różnych luk bezpieczeństwa, dzięki którym każdy zdalny atakujący może łatwo uzyskać dostęp i przejąć kontrolę nad serwerami poczty Microsoft Exchange.

Poniżej zamieszczamy listę tych podatności:

W przypadku podatnych na ataki serwerów Exchange wszystkie te luki są aktywnie wykorzystywane przez cyberprzestępców, o czym informują analitycy z Huntress.
Co więcej, 17 i 18 sierpnia eksperci Huntress zauważyli i zgłosili ponad 100 incydentów związanych z tym exploitem.

Ponad 30 400 serwerów Exchange jest podatnych na ataki

Wygląda na to, że pomimo dostępności poprawek dla opisywanych luk administratorzy systemu nie spieszą się z ich instalacją. 8 sierpnia firma ISC SANS przeprowadziła skanowanie. W swoim raporcie stwierdzili, że obecnie istnieje ponad 30 400 serwerów Exchange z łącznej liczby 100 000 systemów, które są podatne na ten atak, ponieważ nie zostały one załatane.

Poprawki dla MSExchangeRPC

Poniżej publikujemy listę numerów poprawek dla odpowiednich wersji Exchange i ich hash’e:

Exchange 2019 CU10 + KB5004780 = v15.2.922.13
hash: 8a103fbf4b18871c1378ef2689f0bdf062336d7e02a5f149132cdbd6121d4781

Exchange 2019 CU9 + KB5004780 = wersja 15.2.858.15
hash: c5c88f5b013711060bcf4392caebbc3996936b49c4a9b2053169d521f82010aa

Exchange 2016 CU21 + KB5004779 = v15.1.2308.14
hash: 9f7f12011436c0bbf3aced5a9f0be8fc7795a00d0395bfd91ff76164e61f918d

Exchange 2016 CU20 + KB5004779 = wersja 15.1.2242.12
hash: ab767de6193c3f6dff680ab13180d33d21d67597e15362c09caf64eb8dfa2498

Exchange 2013 CU23 + KB5004778 = v15.0.1497.23
hash: 20659e56c780cc96b4bca5e4bf48c812898c88cf134a84ac34033e41deee46e9