Kategoria: Bez kategorii

Marcowa aktualizacja Windows 10 (KB5000802) powoduje wiele problemów użytkownikom systemu. W ciągu kilkunastu godzin pojawiło się wiele zgłoszeń niebieskich ekranów śmierci podczas próby skorzystania z drukarki. Zaledwie kilka dni temu informowaliśmy o błędach związanych z inną aktualizacją Windows 10.

KB5000802 to jeden z pakietów aktualizacji pobieranych automatycznie dla wersji Windows 10 20H2. Znajdziemy w niej poprawki bezpieczeństwa, a więc stanowi ona wysoki priorytet. Z tego względu u części użytkowników została zainstalowana w pełni automatycznie. Cóż, jak można było się spodziewać, wraz z nią pojawiły się nowe krytyczne błędy, prowadzące do BSOD.

Użytkownicy zgłaszają problem z zawieszającymi się komputerami, a następnie niebieskimi ekranami śmierci, wyświetlającymi kod błędu „APC_INDEX_MISMATCH for win32kfull.sys”. Jeden z czytelników serwisu Windows Latest twierdzi, że aktualizacja gryzie się z niektórymi sterownikami drukarek.

„Wydaje mi się, że ta aktualizacja powoduje wyświetlanie niebieskich ekranów podczas drukowania z pomocą sterowników Kyocera Universal Print. Mam już co najmniej 20 potwierdzonych przypadków od 4 różnych klientów, a minęła dopiero godzina” – relacjonuje czytelnik.

Pojawiają się jednak doniesienia o błędach w komputerach z Windows 10 korzystającymi z drukarek innych firm. Oprócz Kyocera, mówi się o Ricoh i Zebra. Błędy wyskakują w momencie, gdy użytkownicy próbują dokonać wydruku. Co więcej, analogiczny problem występuje w przypadku systemów Windows 10 1909 (19H2).

ROZWIĄZANIE? ODINSTALUJ PROBLEMATYCZNĄ AKTUALIZACJĘ WINDOWS 10

Aktualnie jedynym sposobem rozwiązania problemu jest odinstalowanie kłopotliwej poprawki. Aby to zrobić, należy wykonać poniższe kroki:

1. W pasku wyszukiwania wpisz „Windows Update” i kliknij „Ustawienia usługi”
2. Kliknij „Wyświetl historię aktualizacji”
3. Kliknij „Odinstaluj aktualizacje”
4. Znajdź aktualizację „KB5000802”, kliknij prawym przyciskiem myszy i „Odinstaluj”.

Kłopoty klientów Allegro i innych sklepów e-commerce używających programów Senuto, BaseLinker, nie otwierające się strony społeczności MMA,  czy brak obrazków na Wykop.pl – to pierwsze z brzegu przykłady skutków pożaru, który strawił serwerownie firmy OVH w Strasburgu.

Skoro mowa o Allegro, największej w kraju platformie e-commerce, to należy się spodziewać kłopotów wielu firm. Marcin Gruszka, reprezentujący serwis zapewnia, że platforma stara się pomóc sprzedającym i kłopot nie leży po jej stronie.

O pożarze i jego ugaszeniu w godzinach porannych poinformował na Twitterze założyciel OVH Octave Klaba. Według jego wpisu, incydent ma dużą skalę: ogień zniszczył ważny obiekt – SBG2 oraz część sąsiedniego SBG1. Strażacy próbowali ochronić trzecie data center, a czwarte pozostało nietknięte.

Według Klaby, nie było ofiar w ludziach wśród pracowników firmy.

Cztery poprawki awaryjne dla Microsoft Exchange – wgraj je jak najprędzej, zbliża się apogeum ataków

Microsoft wydał właśnie cztery „extra” poprawki dla wszystkich wspieranych wersji MS Exchange. Skąd ten pośpiech? Stąd, że wykryto cztery poważne błędy klasy zero-day, które już są aktywnie wykorzystywane w cyberatakach. Oddzielnie są one „tylko” groźne, połączone razem pozwalają m.in. uzyskać dostęp do serwerów Microsoft Exchange, wykradać pocztę e-mail… Dają także atakującym możliwość wpuszczenia dodatkowego złośliwego oprogramowania, by zwiększyć dostęp do zainfekowanej sieci.

Aby atak zadziałał, atakujący muszą uzyskać dostęp do lokalnego serwera Microsoft Exchange na porcie 443. Jeśli jest to możliwe, cyberprzestępcy wykorzystują następujące luki w zabezpieczeniach:

CVE-2021-26855 to luka w zabezpieczeniach Exchange służąca do fałszowania żądań po stronie serwera (SSRF).
CVE-2021-26857 to luka w zabezpieczeniach deserializacji w usłudze Unified Messaging.
CVE-2021-26858 luka w zabezpieczeniach umożliwiająca zapis dowolnego pliku w Exchange (post-authentication).
CVE-2021-27065 to kolejna luka występująca pod stronie MS Exchange – również umożliwia zapis dowolnego pliku.

Po uzyskaniu dostępu do podatnego serwera Exchange, atakujący mogą zainstalować web shell, z której pomocą wykradają dane, przesyłają pliki i wykonują w zasadzie dowolne polecenia w zaatakowanym systemie. W dalszych krokach przestępcy są również w stanie wykonać zrzut pamięci pliku wykonywalnego LSASS.exe w celu zebrania danych uwierzytelniających z pamięci podręcznej za pomocą właśnie powłoki. I to właśnie w ten sposób są w stanie wyeksportować skrzynki pocztowe i skradzione dane z serwera Exchange i przesłać je do usług udostępniania plików, takich jak MEGA –  skąd później są w stanie je łatwo pobrać. Atakujący mogą również utworzyć remote shell – i bez większego problemu zarządzać całą wewnętrzną infrastrukturą.

Tyle teorii, teraz czas na fakty…

Wszystko wskazuje na to, że pierwsze ataki miały miejsce 6 stycznia br. Raport przedstawiony przez specjalistów z Volexity – którzy wykryli anomalną aktywność dwóch klientów Microsoft. Zaobserwowali oni wysyłanie dużej ilości danych na adresy IP, które ich zdaniem, nie były powiązane z rzeczywistymi użytkownikami. Bliższa analiza ujawniła przychodzące żądania POST do plików powiązanych z obrazami, JavaScript, CSS i czcionkami używanymi przez Outlook Web Access.

Chociaż Microsoft określił ataki mianem „Dla wielu organizacji serwer Exchange odgrywa kluczową rolę –  i właśnie dlatego jest cennym łupem.  Wygląda na to, że atakujący skanują teraz sieć w poszukiwaniu punktów końcowych, podatnych na atak. Prawie 200 organizacji i ponad 350 powłok internetowych zostało już zhakowanych.

W jaki sposób zweryfikować, czy padło się ofiarą tego ataku?

Warto zacząć od zweryfikowania logów serwera web – sprawdź, czy nie miała miejsca podejrzana aktywność, czy nie doszło do zaimplementowania web shell, o której pisaliśmy wcześniej. Zmiana uprawnień użytkownika lub użytkowników administracyjnych powinna również wzbudzić podejrzliwość  i skłaniać do bliższego przyjrzenia się infrastrukturze… zawsze.

Przestępcy posłużyli się techniką double-extortion (o której szerzej w raporcie Cyberbezpieczeństwo: Trendy 2021) i zagrozili firmie, że ujawnią lub sprzedadzą skradzione dane jeżeli nie otrzymają okupu. CD Projekt oświadczył, że nie podda się żądaniom i zamiast tego przywrócił dane z kopii zapasowych, które pozostały nienaruszone.

Kilka dni później na na nielegalnym forum Exploit.in wystawiono na aukcji skradzione dokumenty wewnętrzne i kody źródłowe Cyberpunk 2077, Wiedźmina 3, Wojny Krwi i niewydanej jeszcze wersji Wiedźmina 3 z ray tracingiem. Cena wywoławcza sięgnęła 1 miliona dolarów, a kwota “kup teraz” opiewała na 7 mln dol. Sprzedawca znany jako “redengine” jako dowód udostępnił plik tekstowy zawierający wykaz katalogu z kodu źródłowego Wiedźmina 3.

W czwartek KELA, organizacja zajmująca się monitoringiem Dark Webu, poinformowała, że dane CD Projekt RED zostały sprzedane za “satysfakcjonującą kwotę”.

Przedstawiciele CD Projekt RED skontaktowali się już z odpowiednimi służbami w celu dalszego dochodzenia, w tym – z organami ochrony danych osobowych i specjalistami z zakresu informatyki śledczej.

Co teraz? Firma nie straciła danych, udało się odzyskać je z backupu – produkcja gier nie jest więc zagrożona. Sprzedaż kodów źródłowych na aukcji może jednak spowodować, że przestępcy szybciej wyłapią luki i przygotują ataki na te popularne tytuły.

Nasza Czytelniczka Katarzyna, która zawodowo zajmuje się OSINT-em, trafiła w czasie szperania po sieci na dokumenty opublikowane w serwisie Lekarzonline.eu. W jednym z publicznie dostępnych katalogów znajdowało się 65 plików, a wśród nich zaświadczenia lekarskie i recepty (aktualne).

Niestety zarówno zaświadczenia jak i recepty zawierały masę wrażliwych informacji, m.in.

• imię i nazwisko,

• datę urodzenia

• PESEL

informację o lekach, które z kolei mogą wskazywać na stan zdrowia.

Dostępny był także inny katalog z plikami z ubiegłego roku, a w nim dane na temat wizyt lekarskich. W przypadku tych dokumentów oprócz nazwiska, PESEL-u czy danych kontaktowych (e-mail, telefon) w dokumencie znajdowały się wyniki wywiadu lub badania…

…a także dokumenty z innych placówek medycznych, co sugeruje, że były to pliki udostępniane przez pacjentów serwisowi.

Nauczka dla każdego — jeśli udostępniasz komuś (nawet lekarzowi) swoje wyniki, ukryj na nich dane osobowe. Lekarz będzie wiedział, że dotyczą Ciebie, ale jeśli nie zadba o ochronę tych dokumentów i one wyciekną, to inni będą mieli trudniej, aby powiązać je z Tobą.

Posprzątali, ale nie do końca…

Serwis Lekarzonline.eu jest prowadzony przez praktykę lekarską pana Sebastiana Krześniaka. Wyciek zgłosiliśmy w piątek 22 stycznia korzystając z dostępnego adresu kontaktowego, formularza kontaktowego, a także jednego adresu mailowego dostępnego w pewnym miejscu, do którego mamy dostęp. Zanim zdążyliśmy znaleźć kontakt telefoniczny, pliki z danymi osobowymi zostały usunięte lub dostęp do nich został zablokowany. Przed weekendem (23-24 stycznia) serwis wyglądał na wyłączony w celu dokonania napraw.

Obecnie serwis Lekarzonline.eu działa. Prowadzący go Sebastian Krześniak jeszcze w piątek udzielił nam poniższego komentarza.

Dziękujemy za przekazanie informacji o istnieniu “dziury” w naszym serwisie. Natychmiast po uzyskaniu powyższej informacji cały serwer został wyłączony a dział techniczny przystąpił do sprawdzenia i usunięcia zaistniałej chwilowej awarii. Z informacji jakie uzyskałem z działu IT, potencjalny dostęp możliwy był do danych osobowych mniej niż 35 osób, spośród wszystkich kilku tysięcy zarejestrowanych w serwisie. Tak więc, potencjalny dostęp do danych ww. osób był niewielki. Jednakże natychmiastowe działanie po otrzymaniu zgłoszenia spowodowało weryfikację i naprawę nieprawidłowości w systemie.
W trakcie analizy, zaistniałej nieprawidłowości zespół IT nie uzyskał danych, że osoby postronne weszły w posiadanie wyżej wymienionych danych osobowych. Jednakże zdajemy sobie sprawę z powagi sytuacji, iż nawet potencjalna możliwość uzyskania danych osobowych wymaga natychmiastowej interwencji co zostało już wykonane. System został zatem sprawdzony pod kątem bezpieczeństwa, wskazana usterka została wyeliminowana. Dołożymy wszelakich starań, aby w przyszłości podobna sytuacja nie miała już miejsca.
Oczywiście jako osoba prowadząca działalność gospodarczą i praktykę lekarską uważam za swój obowiązek powiadomić użytkowników, których dane potencjalnie mogły być dostępne a także dokonam zgłoszenia incydentu w zakresie danych osobowych.

W oświadczeniu zastanawia wzmianka o “osobach postronnych“, które rzekomo nie weszły w posiadanie danych. Cóż… my byliśmy osobami postronnymi, podobnie jak Katarzyna, która zgłosiła nam problem. Wiele wskazuje na to, że inne osoby także miały dostęp do tych danych. Warto tu również wspomnieć, że “zespół IT” nie wymusił wyczyszczenia cache w Google, bo jeszcze do piątku, 25 stycznia dokumenty wciąż figurowały w wynikach wyszukiwarki. To powód, dla którego wstrzymywaliśmy się z publikacją przez ponad tydzień.

Zwróciliśmy na to uwagę w kolejnej wiadomości i dopiero po naszym monicie “zespół IT” wyczyścił cache.

Na wyciek danych warto się przygotować

To jak obsłużyć incydent warto przećwiczyć. Mniejszy albo większy wyciek danych, czy to z powodu złej konfiguracji serwera, błędu pracownika lub dostawcy usług, czy w wyniku ataku prędzej czy później zdarzy się każdemu. Warto więc opracować krok-po-kroku KTO i CO wtedy powinien zrobić — inaczej “w emocjach” można zapomnieć o wyczyszczeniu cache Google. A nawet jak się pamięta o wyczyszczeniu cache w Google, to można zapomnieć o cache innych wyszukiwarek…

Wybór WordPressa na serwis do przetwarzania danych medycznych nie jest zły. Pod warunkiem, że przed startem (i po każdej aktualizacji, odtworzeniu danych z kopii zapasowej, etc.) sprawdzi się go pod kątem bezpieczeństwa. Jest do tego sporo darmowych narzędzi, które wychwyciłyby błąd, jaki w tym przypadku odpowiadał za ujawnienie danych medycznych.

 Dane karty tj. jej numer , kod CVV2 oraz data ważności są szczególnie wrażliwe. Jeśli je podasz, przestępcy będą mogli dodać ją do płatności mobilnych i płacić nią np. w internecie, a Ty stracisz pieniądze.

Przykładowe wyłudzenie danych karty na stronie podszywającej się pod portal aukcyjny:

Płacenie smartfonem – czym jest wersja cyfrowa Twojej karty?

Kartę (debetową lub kredytową) możesz dodać w formie cyfrowej na urządzeniu mobilnym np. na smartfonie. Dodanie karty odbywa się w aplikacji mobilnej banku lub aplikacji np. Google Pay lub Apple Pay. Dzięki temu możesz płacić swoim smartfonem jak kartą płatniczą.
Gdy udostępnisz dane swojej karty i zatwierdzisz dodanie jej w wersji cyfrowej zezwolisz przestępcy na wykonywanie płatności kartą w sklepie lub Internecie bez Twojej wiedzy i zgody!

Dlatego, przeczytaj nasze wskazówki jak uniknąć kradzieży

• Nie klikaj w linki do płatności wysłane w wiadomościach SMS lub komunikatorach.
• Nie wprowadzaj numeru karty, kodu CVV2 i daty ważności na wyświetlonych formularzach, nawet jeśli wyglądają wiarygodnie (np. jak strona serwisu ogłoszeniowego).
• Uważnie czytaj wszystkie komunikaty SMS wysyłane z banku.
• Uważaj, jeśli niespodzianie otrzymujesz wiadomość SMS dot. dodania Twojej karty w postaci cyfrowej do swojego rachunku. Nie potwierdzaj takiej operacji. Nigdy nie podawaj nikomu kodu autoryzującego taką operację. Nie wpisuj go również na żadnej stronie internetowej. Jeśli to zrobisz, przestępca będzie mógł wykonywać transakcje Twoją kartą płatniczą.
• Nie potwierdzaj w aplikacji mobilnej i nie wprowadzaj nigdzie kodów autoryzacyjnych SMS (dot. płatności 3D-Secure) dla transakcji kartą płatniczą których nie wykonujesz.

Pamiętaj, że Twoje zachowanie ma wpływ na bezpieczeństwo Twoich pieniędzy.

Aplikacje, które znikną z Windows 10:
Jeśli aplikacja lub produkt, którego używasz, znajduje się poniżej, powinieneś zacząć szukać alternatyw. Nigdy nie jest zalecane dalsze korzystanie z aplikacji lub usługi, która nie jest już aktualizowana lub wspierana. Przejdźmy zatem do listy programów, które zostaną usunięte z Windows 10.

Skype for Business Online Connector
Jeśli używasz Skype for Business Online Connector do zarządzania spotkaniami online, masz czas do 15 lutego. Następnie musisz użyć najnowszej wersji Microsoft Teams.

aplikacje windows 10 Microsoft Teams 1000 uczestników
Microsoft planował przenieść użytkowników programu Skype dla firm do Teams, dlatego warto jak najszybciej zapoznać się z nową aplikacją, ponieważ wydaje się, że firma chce całkowicie wyeliminować Skype dla firm.

Microsoft Edge
Oryginalna przeglądarka internetowa Microsoft Edge, która została dostarczona z systemem Windows 10, przestanie być obsługiwana w marcu. Zamiast tego zachęca się użytkowników do korzystania z nowej wersji przeglądarki, która została przebudowana w oparciu o silnik internetowy Chromium, z którego korzysta przeglądarka Google Chrome.

Jeśli zainstalujesz aktualizację systemu Windows 10 20H2 (znaną również jako aktualizacja systemu Windows 10 z października 2020 r.), nowy Edge zostanie automatycznie zainstalowany.

Obsługa Microsoft 365 dla Internet Explorer 11
Usługi i aplikacje online platformy Microsoft 365 nie będą już obsługiwać przeglądarki Internet Explorer 11. Jeśli nadal używasz starej przeglądarki, po 17 sierpnia 2020 r. możesz nie mieć już dostępu do aplikacji i narzędzi platformy Microsoft 365 w trybie online, a wiele funkcji będzie niedostępnych.

Microsoft od lat próbuje odciągnąć ludzi od Internet Explorera, zachęcając ich do przejścia na Edge. Wszyscy użytkownicy, którzy nadal używają starej przeglądarki, powinni jak najszybciej przerzucić się na nową – naprawdę warto.

Visio Web Access
Pod koniec września Microsoft wyeliminuje Visio Web Access (usługę Visio) i jego składnik Web Part dla SharePoint Online, a zamiast tego przeniesie klientów do Visio Online. Po tym okresie diagramy programu Visio Web Access będą dostępne tylko do przeglądania, a nie do edycji.

Jeśli nadal korzystasz z którejkolwiek z powyższych aplikacji i usług, warto jak najszybciej przygotować się do przejścia na alternatywę.

Zbyszek dzwoni i proponuje kupno “wyświetleń wizytówki w Google”. Posłuchajcie nagrania