Kategorie
bezpieczeństwo IT

Zalecamy aktualizację oprogramowania antywirusowego i uczulamy na podejrzany phishing e-mail.

24 listopada 2021

Microsoft znowu nie ma szczęścia w poprawianiu błędów. Właśnie powstał nowy PoC (Proof of Concept) i tym samym publicznie dostępny exploit, w którym badacz pokazuje jak za pomocą specjalnie przygotowanego kodu wykonać lokalną eskalację uprawnień (LPE) ze zwykłego użytkownika do SYSTEM, czyli do najwyższych uprawnień na Windows.

W ramach wtorkowego (23.11.2021) programu wydawania łat z listopada 2021 r. Microsoft naprawił lukę w zabezpieczeniach dotyczącą podniesienia uprawnień instalatora systemu Windows, śledzoną jako CVE-2021-41379.

Nowa, opisywana podatność została wykryta w ten weekend (21 listopada) przez badacza bezpieczeństwa Abdelhamida Naceri, który po zbadaniu poprawki Microsoftu znalazł do niej obejście i odkrył potężniejszą, nową, umożliwiającą podniesienie uprawnień. W chwili obecnej luka stanowi błąd klasy zero-day i nie doczekał się jeszcze poprawki.

Naceri początkowo odkrył lukę umożliwiającą podniesienie uprawnień i współpracował z Microsoft, aby ją rozwiązać. Jednak łata opublikowana przez Microsoft nie była wystarczająca, aby naprawić błąd, a Naceri opublikował 22 listopada na GitHub kod exploita typu „proof-of-concept”, który działa pomimo poprawek wprowadzonych przez Microsoft. Kod wydany przez Naceri wykorzystuje arbitralną listę kontroli dostępu (DACL) dla usługi Microsoft Edge Elevation Service, aby zastąpić dowolny plik wykonywalny w systemie plikiem MSI, umożliwiając atakującemu uruchomienie kodu jako administrator.

Błyskawicznie w sieci pojawiła się nowa kampania wykorzystująca nową podatność i kod exploit’a opublikowany przez Abdelhamida. Pierwszą wzmiankę o niej publikuje zespół badawczy Cisco Talos, który udostępnia dwie reguły Snort do swoich rozwiązań do bezpieczeństwa (Cisco Secure Firewall).

Chociaż Microsoft początkowo ocenił lukę jako błąd o średnim stopniu ważności, uzyskując podstawowy wynik CVSS 5,5 i czasowy wynik 4,8, opublikowanie kodu wykorzystującego lukę w weryfikacji poprawności działania z pewnością doprowadzi do dalszego nadużycia tej podatności. W chwili publikacji naszego artykułu Microsoft nie udostępnił jeszcze żadnych poprawek. Według Naceri, najlepszym obejściem dostępnym w chwili obecnej jest zaczekanie, aż Microsoft wyda łatę bezpieczeństwa, ze względu na złożoność tej luki. Przy okazji porusza na swoim blogu na Twitterze problem, w którym nie kryje niezadowolenia z nowego programu Bug Bounty.

Zalecamy aktualizację oprogramowania antywirusowego i przede wszystkim uczulamy Użytkowników na podejrzany phishing.

Kategorie
bezpieczeństwo IT

Wyciekły dane. Czy Twoja strona www oparta jest na systemie WordPress i używasz serwisu GoDaddy?

10 listopada 2021

Serwis używany w szablonach witryn www opartych o WordPress: GoDaddy ujawnił, że nieznany napastnik uzyskał nieautoryzowany dostęp do systemu używanego do obsługi witryn zarządzanych właśnie przez WordPress, co wpłynęło na nawet 1,2 miliona ich klientów korzystających z WordPressa. Liczba ta może być większa gdyż niektórzy klienci GoDaddy mają na swoich kontach wiele zarządzanych witryn WordPress.

Zgodnie z raportem złożonym przez GoDaddy w SEC, atakujący początkowo uzyskał dostęp za pomocą zhakowanego hasła 6 września 2021 r., a został on wykryty 17 listopada 2021 r., kiedy to jego poświadczenia zostały unieważnione. Chociaż firma podjęła natychmiastowe działania w celu złagodzenia szkód, atakujący miał ponad dwa miesiące na swoje działania, więc każdy, kto obecnie korzysta z produktu GoDaddy Managed WordPress, powinien przyjąć tę wiadomość jako bardzo możliwy wyciek hasła GoDaddy.

Wygląda na to, że GoDaddy przechowywał dane uwierzytelniające sFTP jako tekst lub w formacie, który można zamienić na zwykły tekst. Firma prawdopodobnie nie używała generatora z podwójną autentykacją haseł lub klucza publicznego, które są uważane za najlepsze praktyki branżowe dotyczące sFTP. Umożliwiło to atakującemu bezpośredni dostęp do danych uwierzytelniających hasła bez konieczności ich łamania.

Zgodnie ze zgłoszeniem w SEC: „W przypadku aktywnych klientów ujawniono nazwy użytkownika i hasła sFTP i bazy danych”.

Próbowaliśmy skontaktować się z firmą GoDaddy w celu uzyskania komentarza i potwierdzenia naszych ustaleń, ale firma nie odpowiedziała natychmiast na nasze prośby o komentarz. Więcej szczegółów tutaj.

Kategorie
bezpieczeństwo IT

Narzędzie do samooceny działań dotyczących zabezpieczeń IT

6 października 2021

Henwar jako partner rozwiązań IT firmy Microsoft, zaleca skorzystanie z narzędzia służącego do samooceny poziomu stosowanych zabezpieczeń IT w Państwa organizacji.

Poniższe narzędzie opracowane jest w formie krótkiej ankiety i bazuje na rozwiązaniach Microsoft obniżających ryzyko w obszarze cyberbezpieczeństwa. Jeśli wynik ankiety pod kątem używanych procedur i narzędzi nie jest dla Państwa satysfakcjonujący, to zapraszamy do niezwłocznego kontaktu z naszymi specjalistami. LINK do samooceny.

Zespół Henwar jest do Państwa dyspozycji pod adresem: ul. Perzyńskiego 20, Warszawa Bielany – w dni robocze od pon. do pt. w godz. 9:00-17:00, tel.: 22 828 28 18 i całodobowo: outsourcing@henwar.pl. Opiekunów umów ITO zachęcamy do rozmów w ramach kontraktów kompleksowego wsparcia informatycznego.

Samoocena dojrzałości w zakresie operacji dotyczących zabezpieczeń pomoże określić, jak dobrze przygotowany jest zespół centrum działań dotyczących zabezpieczeń do wykrywania ataków, reagowania na nie i przywracania sprawności. Dowiedz się, jaki etap w modelu dojrzałości zabezpieczeń osiągnęły operacje Twojej organizacji dotyczące zabezpieczeń, i uzyskaj rekomendacje w zakresie ulepszenia procesów i narzędzi w celu zwiększenia tej gotowości.”