Kategorie
Bez kategorii

Fundusze na cyfryzację polskich urzędów

Fundusze na cyfryzację polskich urzędów: wiemy kto otrzyma najwięcej. W nowej perspektywie finansowej do podziału będą duże pieniądze na projekty informatyczne.

Według umowy partnerskiej na lata 2021-2027 Polska otrzyma do zagospodarowania około 76 mld euro na programy ogólnokrajowe i regionalne, w tym 72,2 mld euro w ramach polityki spójności oraz 3,8 mld euro z Funduszu na rzecz Sprawiedliwej Transformacji.

Konsultacje umowy partnerskiej zakończyły się w lutym br.  Dokument ten określa uzgodnioną z Komisją Europejską strategię wykorzystania funduszy unijnych.

Nowa perspektywa funduszy unijnych na lata 2021-2027 będzie skupiać się na dofinansowaniu projektów wspierających transformację cyfrową i zrównoważony rozwój gospodarczy. W tym celu w ramach polityki spójności środki zostaną przydzielone m.in. na kolejną edycję Programu Operacyjnego Polska Cyfrowa.

Duża kasa popłynie na Śląsk

Najwięcej, a mianowicie 2,07 mld euro, województwo śląskie otrzyma z Funduszu na rzecz Sprawiedliwej Transformacji, co łącznie ze środkami unijnymi w ramach polityki spójności przyniesie ponad 4 mld euro na inwestycje rozwojowe w regionie w ciągu najbliższej dekady.

Dla przypomnienia ten region otrzymał również najwięcej w ramach PO Polska Cyfrowa w kończącej się poprzedniej perspektywie finansowej.

Środki z Funduszu na rzecz Sprawiedliwej Transformacji są przeznaczone na zmniejszanie negatywnych skutków społeczno-gospodarczych przejścia do gospodarki neutralnej dla klimatu. Trafią do pięciu województw związanych z górnictwem: łódzkiego, małopolskiego, dolnośląskiego, wielkopolskiego i lubelskiego.

11 mld euro dla Polski Wschodniej

Dodatkowo, Europejski Fundusz Rozwoju Regionalnego (EFRR) w dużej mierze wesprze kolejną edycję Programu Operacyjnego Rozwoju Polski Wschodniej, który tradycyjnie obejmuje pięć województw: lubelskie, podkarpackie, podlaskie, świętokrzyskie i warmińsko-mazurskie.

Perspektywa finansowa na lata 2021-2027 przewiduje w tym celu zagospodarowanie ponad 11 mld euro środków unijnych, czyli prawie o 3 mld więcej niż poprzednia, a poza dotychczasowymi beneficjentami tego programu na pieniądze również będzie mogła liczyć część województwa mazowieckiego.

Kategorie
Bez kategorii

Pliki .ZIP w OneDrive i SharePoint w sieci Web. – zmiany użytkowania od 2 maja 2021 r.

Od 2 maja 2021r pobieranie pojedynczych plików .zip nie będzie możliwe

w OneDrive i SharePoint w sieci Web.

Microsoft poinformował, że od 2 maja 2021r. Użytkownicy nie będą mogli pobierać części zawartości pliku .zip  w OneDrive i SharePoint w sieci web.

Jeśli Użytkownik chce pobrać częściową zawartość pliku .zip, musi pobrać cały plik .zip.

Użytkownicy zachowają możliwość przeglądania zawartości pliku .zip

Kategorie
Bez kategorii

Czym żyje Homo Quaranticus?

To model typowego polskiego internauty w czasach pandemii(wg. SentiOne) który przeniósł swoje codzienne życie do Internetu.W minionym roku głównymi tematami rozmów w Internecie były zakupy online, Netflix, dresy i 𝐩𝐫𝐚𝐜𝐚 𝐳 𝐝𝐨𝐦𝐮!

𝐇𝐚𝐬𝐳𝐭𝐚𝐠 „#𝐡𝐨𝐦𝐞𝐨𝐟𝐟𝐢𝐜𝐞” zdominował portale społecznościowe i można było odnieść wrażenie, że wszyscy pracujący przenieśli swoje biura do domu. W Polsce 2020 r. hasło „home office” zostało użyte przez Internautów prawie 350 tys. jest to wzrost o 750 % w porównaniu do roku 2019.

Mając przed sobą wizję kolejnego „twardego” lock-down’u, warto skonsultować swoją aktywność w sieci 𝘇𝗲 𝘀𝗽𝗲𝗰𝗷𝗮𝗹𝗶𝘀𝘁𝗮𝗺𝗶 𝘇 𝗛𝗲𝗻𝘄𝗮𝗿 𝗢𝘂𝘁𝘀𝗼𝘂𝗿𝗰𝗶𝗻𝗴 𝗜𝗧.

Zagrożeń na styku Internet-WiFi lub sieć LAN w we własnym domu czy mieszkaniu jest wiele. Jeśli pracujesz zdalnie, realizujesz przelewy lub robisz zakupy on-line, wyposaż się w odpowiednie oprogramowanie lub sprzęt, które podniesie Twój poziom bezpieczeństwa informatycznego .

Rekomendujemy rozwiązanie, które oferuje nasz partner 𝐅𝐎𝐑𝐓𝐈𝐍𝐄𝐓 – programy zabezpieczające sieć m.in 𝐅𝐨𝐫𝐭𝐢𝐂𝐥𝐢𝐞𝐧𝐭 𝐄𝐌𝐒 𝐨𝐫𝐚𝐳 𝐅𝐨𝐫𝐭𝐢𝐆𝐚𝐭𝐞.

Kategorie
Bez kategorii

Nie działają aplikacje na Androida – to globalna awaria systemu

Od kilku godzin spływają do nas informacje od Czytelników, którzy zwracają nam uwagę na problem z niedziałającymi aplikacjami na urządzeniach z Androidem. Pojawiający się komunikat „Aplikacja przestała działać” uniemożliwia korzystanie z dziesiątek, jeśli nie setek aplikacji, które do tej pory działały bez zarzutu. Zgłoszenia pojawiają się na całym świecie. Choć początkowo dotyczyły one urządzeń Samsunga, tak szybko okazało się, że z awarią borykają się użytkownicy innych producentów — od najbardziej popularnych smartfonów, po te bardziej niszowe. Co się stało?

Aplikacja przestała działać. Co się stało na Androidzie?

ikona aplikacji Android System WebView

Społeczność użytkowników z całego świata zdążyła już wyśledzić i zidentyfikować problem oraz winnego. To Android System WebView. W Google Play dowiecie się, że:

Android WebView to wstępnie zainstalowany na urządzeniu składnik systemu bazujący na Chrome. Umożliwia on aplikacjom na Androida wyświetlanie treści internetowych. Należy go na bieżąco aktualizować, by zawierał najnowsze zabezpieczenia i poprawki.

Problemy ma stwarzać także sama przeglądarka Chrome, choć nie do końca wiadomo, czym jest to spowodowane. A to oznacza, że dotyka to przede wszystkim aplikacje oferujące możliwość wyświetlania treści stron internetowych bezpośrednio z ich poziomu — z wykorzystaniem WebView. Dlatego przestały działać m.in. Allegro, OLX, aplikacje pogodowe, skrzynki mailowe i wiele wiele innych. Nie działały lub nadal nie działają aplikacje Google, np. Gmail.

Co zrobić by aplikacje na Androida znów zaczęły działać?

W Google Play pojawiła się właśnie aktualizacja Android System WebView o numerze 89.0.4389.105 — warto ją zainstalować i sprawdzić czy problem został wyeliminowany. Gdyby to nie zadziałało, musicie odinstalować najnowszą aktualizację Android System WebView. W zależności od modelu telefonu, możecie udać się do : Ustawienia > Aplikacje > Android System WebView i z rozwijanego menu wybrać opcję Odinstaluj aktualizację. Nie na każdym urządzeniu ta funkcja jest dostępna i jeśli nie widzicie możliwości odinstalowania aktualizacji z poziomu Ustawień, pomocne może okazać się wyczyszczenie miejsca na dane ora pamięci na dane. Opcje te znajdują się w zakładce Pamięć wewnętrzna.

W rozwiązaniu pomóc ma też zainstalowanie Android System WebView w wersji beta. Znajdziecie ją w Google Play lub na zewnętrznych stronach do pobrania i instalowania plików apk — np. APKMirror. Wersja beta aplikacji (choć wydana 17 marca) nie wywołuje problemów i nie zawiesza innych programów.

Jak widać, samo Google potrafi sporo namieszać w naszych urządzeniach i awaria Androida też może się przytrafić. Nieoczekiwane problemy zdarzają się niemal wszędzie i trzeba mieć świadomość, że mogą pojawiać się coraz częściej. Nie pozostaje nam nic innego jak uzbroić się w cierpliwość i czekać na oficjalne rozwiązanie — które pojawi się w formie aktualizacji.

Aktualizacja. Co zrobić jeśli aplikacje nie działają?

Jak przeczytacie w komentarzach, wielu z Was nadal ma problemy z Android System WebView — a to nie da się tego aktywować (pojawia się informacja, że aplikacja jest wyłączona), odinstalować aktualizacji, a tym bardziej jej zaktualizować z pomocą sklepu Google Play. Tymczasowym rozwiązaniem okazuje się wyłączenie Chrome z poziomu ustawień telefonu/tabletu. Ustawienia > Aplikacje > Chrome > WyłączPowoduje to aktywację Android System WebView, które w Google Play widnieje jako gotowe do aktualizacji. Po pobraniu nowej wersji i jej zainstalowaniu wszystko powinno wrócić do normy — sprawdźcie i dajcie znać w komentarzach. Jednak po ponownym aktywowaniu Chrome, Android System WebView znów zaczyna stwarzać problemy.

Pomóc może też aktualizacja samej przeglądarki do najnowszej wersji, która również pojawiła się w Google Play w ostatnich godzinach. Jednak, podobnie jak w powyższych przypadkach, nie u każdego to zadziała.

Na ten moment nie ma zbyt wielu informacji od Google. Firma wie o problemach, pracuje nad ich rozwiązaniem, jednak nie wiadomo czy nocna aktualizacja Android System WebView i Chrome to wszystko, czego można oczekiwać w najbliższych godzinach. Mam nadzieję, że nie. Technicy firmy sugerują aktualizację obu aplikacji, ale jak widać nie zawsze się to udaje i trzeba dodatkowo kombinować. Pytanie też czy awaria Google wpłynie na dalszy rozwój Androida. System w zależności od producenta się różni i nie każdy ma możliwość skorzystania z tych samych sposobów rozwiązania powstałego problemu.

Kategorie
Bez kategorii

Nowy ransomware atakujący serwery Microsoft Exchange i atak hakerski

Jak ktoś się nie załata, to zapłaci – i to nie w przenośni. Bleeping Computer donosi o nowym ransomware o kryptonimie DearCry, który do infekcji wykorzystuje ostatnio zlokalizowane luki w Microsoft Exchange

Zaszyfrowane pliki otrzymują przedrostek DEARCRY (w zawartości), a rozszerzenie zmieniane jest na CRYPT:

Przynajmniej od jednej ofiary zażądano $16 000 okupu za odszyfrowanie. Microsoft potwierdza całą akcję oraz informuje, że podjął odpowiednie działania (podejmijcie je i Wy!). Więcej tutaj: Microsoft Security Intelligence@MsftSecIntel

Potężny atak hakerski na Microsoft. Koncern: to Chińczycy

Dziury w popularnym oprogramowaniu Microsoft Exchange stały się celem cyberprzestępców. Wykorzystali je, aby włamać się na skrzynki mailowe użytkowników.

Hakerzy byli w stanie odczytywać maile lub w całkowicie niekontrolowany sposób instalować na komputerach nieautoryzowane oprogramowanie. Niebezpieczny atak na Microsoft mógł dotknąć nawet 250 tys. użytkowników – alarmuje „The Wall Street Journal”.

Problemy Microsoftu wykryła Volexity Inc. Według niej malware atakujący słabe punkty oprogramowania działał w sposób wyjątkowo skryty, a od hakerów wymagał nie lada umiejętności. Media w USA donoszą, że w efekcie ta kampania cyberprzestępców dotknęła dziesiątki tysięcy firm i urzędów. Celem mogły paść m.in. ważne dane o charakterze wywiadowczym. Podejrzenie padło na Chiny. Microsoft wskazał na chińską grupę Hafnium, która operowała jednak z serwerów w Stanach Zjednoczonych. Koncern wdrożył już program naprawiający luki w Microsoft Exchange. – To jest poważne zagrożenie. Wszyscy, którzy korzystali z tego rozwiązania – rząd, sektor prywatny, środowisko akademickie – muszą teraz działać, aby te luki załatać – ostrzegła, cytowana przez BBC, sekretarz prasowa Białego Domu Jen Psaki.

Z kolei CNN donosi, że Hafnium ma na koncie już wiele ataków w USA. Celem były podmioty z sektora przemysłu, laboratoria medyczne, kancelarie prawne, a także ośrodki analityczne, specjalizujące się w kwestiach politycznych, instytucje pozarządowe oraz firmy sektora obronnego.

Kategorie
Bez kategorii

Przestępcy korzystają z fałszywych Google reCAPTCHA aby wykradać dane logowania do konta Microsoft 365

W tej nowej kampanii maile phishingowe udają automatyczne komunikaty dostarczane przez wykorzystywane przez ofiary narzędzia do komunikacji.

Ofiary otrzymują na firmową skrzynkę wiadomość, że numer “(503) ***-6719 w dniu 20 stycznia pozostawił wiadomość głosową, o długości 35 sekund”. Do wiadomości jest załączany plik “vmail-219.HTM”. Niektóre osoby miały do czynienia jednak z odmiennym komunikatem.  W tym drugim wariancie ofiara ma zweryfikować ważny dokument (REVIEW SECURE DOCUMENT) – czyli klasyczny zabieg socjotechniczny.

Obraz: Zscaler

W momencie gdy użytkownik Microsoft 365 klika załącznik, w przeglądarce ładuje się klasyczny widok z Google reCAPTCHA – tyle, że są one oczywiście fałszywe.

Google reCAPTCHA to popularna usługa, która ma za zadanie zabezpieczać strony internetowe m.in. przez spamerskimi botami. Graficzna łamigłówka polegającą na wskazaniu zdjęć zawierających rower lub hydrant to nic innego jak nowoczesna odmiana testu Turinga.

Po przejściu testu, ofiara zostaje przekierowana na stronę phishingową, gdzie ma wpisać swoje dane dostępowe do konta Microsoft 365. Przestępcy odrobili pracę domową i przygotowali formularze tak by były one zgodne z oryginalnym profilem atakowanych organizacji. Na tym etapie ofiary są proszone o wprowadzenie danych uwierzytelniających do systemu. Kiedy operacja kończy się sukcesem zostają przekierowani do widoku, gdzie mogą osłuchać otrzymaną wcześniej wiadomość głosową. Jest to interesujący zabieg, ponieważ zwykle w ostatnim kroku zaatakowany użytkownik trafia na właściwą stronę logowania do usługi.

Kto jest celem przestępców?

Tym razem atakujący celują w Wicedyrektorów oraz Dyrektorów Zarządzających, którzy mają dostęp do znacznie bardziej atrakcyjnych danych. Według analityków, w ciągu ostatnich trzech miesięcy wysłano co najmniej 2,5 tysiąca takich wiadomości – głównie do pracowników sektora bankowego oraz IT.

Kategorie
Bez kategorii

Złoto dla antywirusów G DATA

Partnerze Hnewar,

mamy przyjemność poinformować, że niezależny instytut badawczy AV-Comparatives opublikował kompleksowy raport za rok 2020.

W wyniku testów prowadzonych przez instytut badawczy AV-Comparatives w 2020 roku, G DATA uzyskała szczególne wyróżnienie: GOLD dla najlepszego producenta oprogramowania antywirusowego w obszarze „Ochrona przed złośliwym oprogramowaniem”.

W każdym teście, który instytut przeprowadził w zeszłym roku, zablokowaliśmy 100% złośliwego oprogramowania. G DATA jest jedynym dostawcą, który tego dokonał.

Bardzo dobry wynik zawdzięczamy nie tylko naszym wyjątkowym technologiom DeepRay® i BEAST, które udostępniliśmy użytkownikom w ostatnich latach.

Zarówno teraz, jak i w przyszłości dołożymy wszelkich starań, aby w dalszym ciągu chronić Ciebie i Twoich klientów w najlepszy możliwy sposób. To wszystko jest możliwe poprzez wykorzystanie nowoczesnych narzędzi i innowacyjnych technologi, a także skoncentrowaniu się na najwyższej jakości świadczonych usług.

Cenimy długoterminowe relacje!

Więcej informacji tutaj:

 

żródło: materiały własne partnera G DATA.

Kategorie
Bez kategorii

Kolejne blue screeny w Windows 10

KOLEJNE BLUE SCREENY W WINDOWS 10. TYM RAZEM ZAWINIŁA POPRAWKA KB5000802.

Marcowa aktualizacja Windows 10 (KB5000802) powoduje wiele problemów użytkownikom systemu. W ciągu kilkunastu godzin pojawiło się wiele zgłoszeń niebieskich ekranów śmierci podczas próby skorzystania z drukarki. Zaledwie kilka dni temu informowaliśmy o błędach związanych z inną aktualizacją Windows 10.

KB5000802 to jeden z pakietów aktualizacji pobieranych automatycznie dla wersji Windows 10 20H2. Znajdziemy w niej poprawki bezpieczeństwa, a więc stanowi ona wysoki priorytet. Z tego względu u części użytkowników została zainstalowana w pełni automatycznie. Cóż, jak można było się spodziewać, wraz z nią pojawiły się nowe krytyczne błędy, prowadzące do BSOD.

Użytkownicy zgłaszają problem z zawieszającymi się komputerami, a następnie niebieskimi ekranami śmierci, wyświetlającymi kod błędu „APC_INDEX_MISMATCH for win32kfull.sys”. Jeden z czytelników serwisu Windows Latest twierdzi, że aktualizacja gryzie się z niektórymi sterownikami drukarek.

„Wydaje mi się, że ta aktualizacja powoduje wyświetlanie niebieskich ekranów podczas drukowania z pomocą sterowników Kyocera Universal Print. Mam już co najmniej 20 potwierdzonych przypadków od 4 różnych klientów, a minęła dopiero godzina” – relacjonuje czytelnik.

Pojawiają się jednak doniesienia o błędach w komputerach z Windows 10 korzystającymi z drukarek innych firm. Oprócz Kyocera, mówi się o Ricoh i Zebra. Błędy wyskakują w momencie, gdy użytkownicy próbują dokonać wydruku. Co więcej, analogiczny problem występuje w przypadku systemów Windows 10 1909 (19H2).

ROZWIĄZANIE? ODINSTALUJ PROBLEMATYCZNĄ AKTUALIZACJĘ WINDOWS 10

Aktualnie jedynym sposobem rozwiązania problemu jest odinstalowanie kłopotliwej poprawki. Aby to zrobić, należy wykonać poniższe kroki:

  1. W pasku wyszukiwania wpisz „Windows Update” i kliknij „Ustawienia usługi”
  2. Kliknij „Wyświetl historię aktualizacji”
  3. Kliknij „Odinstaluj aktualizacje”
  4. Znajdź aktualizację „KB5000802”, kliknij prawym przyciskiem myszy i „Odinstaluj”.
Kategorie
Bez kategorii

Pożar u chmurowego giganta!

Pożar strawił centrum przetwarzania danych firmy OVH w Strasburgu. O kłopotach w obsłudze użytkowników piszą od rana także polskie firmy.

Kłopoty klientów Allegro i innych sklepów e-commerce używających programów Senuto, BaseLinker, nie otwierające się strony społeczności MMA,  czy brak obrazków na Wykop.pl – to pierwsze z brzegu przykłady skutków pożaru, który strawił serwerownie firmy OVH w Strasburgu.

Skoro mowa o Allegro, największej w kraju platformie e-commerce, to należy się spodziewać kłopotów wielu firm. Marcin Gruszka, reprezentujący serwis zapewnia, że platforma stara się pomóc sprzedającym i kłopot nie leży po jej stronie.

O pożarze i jego ugaszeniu w godzinach porannych poinformował na Twitterze założyciel OVH Octave Klaba. Według jego wpisu, incydent ma dużą skalę: ogień zniszczył ważny obiekt – SBG2 oraz część sąsiedniego SBG1. Strażacy próbowali ochronić trzecie data center, a czwarte pozostało nietknięte.

Według Klaby, nie było ofiar w ludziach wśród pracowników firmy.

Octave Klaba @ olesovhcom
We have a major incident on SBG2. The fire declared in the building. Firefighters were immediately on the scene but could not control the fire in SBG2. The whole site has been isolated which impacts all services in SGB1-4. We recommend to activate your Disaster Recovery Plan.
3:42 AM · 10 mar 2021
 
Nie wiadomo dokładnie jak na razie, jaki jest wpływ pożaru w OVH na polski internet. Poszczególne firmy dzielą się wiadomościami na ten temat i przepraszają swoich klientów.

Skontaktowaliśmy się z OVH w Polsce, ale firma nie była jeszcze w stanie oszacować skali problemu.

OVHcloud podaje, że obsługuje 400 tys. serwerów we własnych 31 centrach danych na 4 kontynentach. Korzysta z jej usług nich 1,6 miliona klientów w 140 krajach. Centrum przetwarzania danych w Strasburgu zostało zbudowane w 2012 roku i obsługuje (od 2015 roku) m.in. start-upy.

Kłopoty mają niektóre firmy medialne. O tym, że nie działa od rana powiadomił nas m.in. wydawca „Magazyn Pismo”.

OVH należy do najpopularniejszych firm hostingowych w Polsce, po takich graczach jak Nazwa.pl, czy Home.pl.

W ostatnich latach pożar był przyczyną awarii w data center T-Mobile Polska w Warszawie. Z kolei systemy gaśnicze nie zadziałały prawidłowo np. w Netii, czy Urzędzie Komunikacji Elektronicznej.

Kategorie
Bez kategorii

Cztery poprawki awaryjne dla Microsoft Exchange

Nowe zero-day w MS Exchange to poważne zagrożenie dla cyberbezpieczeństwa firm. Nie dziwi więc fakt, że Microsoft naciska na klientów, aby jak najszybciej zainstalowali najnowsze poprawki awaryjne. Jak dotąd tylko jedna grupa hackerska – nazwana Hafnium – aktywnie wykorzystująca luki, ale sytuacja może się zmienić w dowolnym momencie. Najlepszą ochroną przed atakiem jest więc zastosowanie nowych poprawek teraz – nie jutro lub w kolejnym tygodniu. Więcej informacji wyczytacie poniżej.

Cztery poprawki awaryjne dla Microsoft Exchange – wgraj je jak najprędzej, zbliża się apogeum ataków

Microsoft wydał właśnie cztery „extra” poprawki dla wszystkich wspieranych wersji MS Exchange. Skąd ten pośpiech? Stąd, że wykryto cztery poważne błędy klasy zero-day, które już są aktywnie wykorzystywane w cyberatakach. Oddzielnie są one „tylko” groźne, połączone razem pozwalają m.in. uzyskać dostęp do serwerów Microsoft Exchange, wykradać pocztę e-mail… Dają także atakującym możliwość wpuszczenia dodatkowego złośliwego oprogramowania, by zwiększyć dostęp do zainfekowanej sieci.

Aby atak zadziałał, atakujący muszą uzyskać dostęp do lokalnego serwera Microsoft Exchange na porcie 443. Jeśli jest to możliwe, cyberprzestępcy wykorzystują następujące luki w zabezpieczeniach:

CVE-2021-26855 to luka w zabezpieczeniach Exchange służąca do fałszowania żądań po stronie serwera (SSRF).
CVE-2021-26857 to luka w zabezpieczeniach deserializacji w usłudze Unified Messaging.
CVE-2021-26858 luka w zabezpieczeniach umożliwiająca zapis dowolnego pliku w Exchange (post-authentication).
CVE-2021-27065 to kolejna luka występująca pod stronie MS Exchange – również umożliwia zapis dowolnego pliku.

Po uzyskaniu dostępu do podatnego serwera Exchange, atakujący mogą zainstalować web shell, z której pomocą wykradają dane, przesyłają pliki i wykonują w zasadzie dowolne polecenia w zaatakowanym systemie. W dalszych krokach przestępcy są również w stanie wykonać zrzut pamięci pliku wykonywalnego LSASS.exe w celu zebrania danych uwierzytelniających z pamięci podręcznej za pomocą właśnie powłoki. I to właśnie w ten sposób są w stanie wyeksportować skrzynki pocztowe i skradzione dane z serwera Exchange i przesłać je do usług udostępniania plików, takich jak MEGA –  skąd później są w stanie je łatwo pobrać. Atakujący mogą również utworzyć remote shell – i bez większego problemu zarządzać całą wewnętrzną infrastrukturą.

Tyle teorii, teraz czas na fakty…

Wszystko wskazuje na to, że pierwsze ataki miały miejsce 6 stycznia br. Raport przedstawiony przez specjalistów z Volexity – którzy wykryli anomalną aktywność dwóch klientów Microsoft. Zaobserwowali oni wysyłanie dużej ilości danych na adresy IP, które ich zdaniem, nie były powiązane z rzeczywistymi użytkownikami. Bliższa analiza ujawniła przychodzące żądania POST do plików powiązanych z obrazami, JavaScript, CSS i czcionkami używanymi przez Outlook Web Access.

Chociaż Microsoft określił ataki mianem „Dla wielu organizacji serwer Exchange odgrywa kluczową rolę –  i właśnie dlatego jest cennym łupem.  Wygląda na to, że atakujący skanują teraz sieć w poszukiwaniu punktów końcowych, podatnych na atak. Prawie 200 organizacji i ponad 350 powłok internetowych zostało już zhakowanych.

W jaki sposób zweryfikować, czy padło się ofiarą tego ataku?

Warto zacząć od zweryfikowania logów serwera web – sprawdź, czy nie miała miejsca podejrzana aktywność, czy nie doszło do zaimplementowania web shell, o której pisaliśmy wcześniej. Zmiana uprawnień użytkownika lub użytkowników administracyjnych powinna również wzbudzić podejrzliwość  i skłaniać do bliższego przyjrzenia się infrastrukturze… zawsze.