Jest to kolejny przypadek niezwykle precyzyjnego celowania oszustów w swoje, potencjalne ofiary.
Uczulamy Państwa:
– nie klikać w żaden link zawarty w takiej korespondencji (przykład i adres nadawcy poniżej)
– oznaczyć wiadomość jako SPAM lub WIDOMOŚĆ ŚMIEĆ
– dodać nadawcę do listy nadawców zablokowanych
– skasować wiadomość
– opróżnić folder KOSZ lub wiadomości USUNIĘTE.
Przy okazji każdego Centrum Bezpieczeństwa Xopero przypominamy, jak istotne są regularne aktualizacje. Niestety, na własnej skórze mogą przekonać się o tym wszystkie organizacje, które w terminie nie zastosowały sierpniowych aktualizacji Microsoftu. Wtedy, bez większego echa załatana została luka CVE-2020-1472 (10/10) umożliwiająca podniesienie uprawnień w protokole zdalnym Netlogon (MS-NRPC).
CVE-2020-1472 (aka Zerologon) dotyczy wszystkich obsługiwanych wersji systemu Windows Server od 2008 wzwyż. Zagrożenie jest jednak największe w przypadku serwerów, które działają jako kontrolery domeny Active Directory w sieciach korporacyjnych.
Luka wynika z błędu w schemacie uwierzytelniania kryptograficznego używanego przez Netlogon Remote Protocol. Netlogon korzysta z algorytmu AES, w trybie CFB8. Ten wykorzystuje dość często spotykany w kryptografii IV, a inżynierowie Microsoftu wymagają żeby składał się on z samych zer (!). Wystarczy 256 prób (a można próbować do woli), aby serwer zaakceptował logowanie – to powinno zająć ok…3 sekund.
Atakujący może zmienić hasło kontrolera domeny, przechowywane w usłudze AD, a następnie wykorzystać je do uzyskania poświadczeń administratora. Podatność nie wymaga posiadania żadnego konta, exploit jest szybki i działa bardzo stabilnie, dotyka wszystkich obsługiwanych serwerów Windows i umożliwia pełen dostęp do administratora domeny.
W ciągu ostatniego tygodnia opublikowano wiele proofs-of-concept (PoC), a efektywność wielu z nich została potwierdzona. Exploit ten znalazł również zastosowanie w najnowszej wersji Mimikatz.
Badacze z Secura opublikowali skrypt Pythona, który organizacje mogą wykorzystać do sprawdzenia, czy kontroler domeny jest podatny na ataki.
Systemy, które otrzymały sierpniową poprawkę są zabezpieczone przed atakiem. Aktualizacja kontrolerów domeny usługi Active Directory umożliwi domyślną ochronę urządzeń z systemem Windows. Pełne środki zaradcze zadziałają dopiero po wdrożeniu przez organizację trybu wymuszania kontrolera domeny, który wymaga aby wszystkie urządzenia używały bezpiecznego NRPC. Choć organizacje mogą wdrożyć go natychmiast, od 9 lutego 2021 r. kontrolery domeny zostaną domyślnie przełączone w tryb wymuszania.
Szanowni Klienci Henwar Outsourcing. Dokładamy wszelkich starań aby w reżimie obostrzeń być do Państwa dyspozycji na 100% wg kontraktów ITO. Nasz zespół realizuje zlecenia tak aby Państwa systemy IT umożliwiały Państwu pracę zdalną w sposób bezpieczny dla zasobów IT. Dlatego bardzo ważne jest aby wsłuchiwać się w głos konsultacji zespołu informatyków, zgłaszać swoje wątpliwości i współpracować z nami w budowie „nowej rzeczywistości”, która jeszcze bardziej nie może obejść się bez IT. Takie partnerskie podejście do rozwiązywania incydentów uspokoi Państwa firmy, że oczekując pełnej dostępności swojego IT, warto dostrzec fakt, iż w Henwar pracują bardzo oddani i zaangażowani w swoje obowiązki ludzie, poddani tej samej presji czasu w czasie Pandemii co Państwo. Życzymy Wszystkim zdrowia i pozostajemy usług!
Aktualizacje KB4565351 oraz KB4566782 są przeznaczone odpowiednio dla systemów Windows 10 1909 (czyli z aktualizacją Listopad 2019) oraz 2004 (czyli Maj 2020). Likwidują one sporo błędów i podatności w systemie oraz w powiązanych z nimi elementach. Niestety, wielu użytkowników z całego świata raportuje, że podczas próby ich wprowadzania pojawia się informacja o błędzie – najczęściej spotykane kody to 0x800f0988, 0x800f081f, 0x800f08a oraz 0x80070002.
Najczęściej kody błędów związane są z brakującymi plikami bibliotek DLL oraz plikami systemowymi, które gromadzone są w folderze WinSXS. Póki co Microsoft nie przygotował jeszcze łatki na ten problem. Wiemy już jednak, jak działać, gdy zostaniemy poinformowani o problemie z kodem 0x800f081f. Zatem (uwaga: na własne ryzyko!):
Uwaga – sposób ten może nie działać identycznie na poszczególnych instalacjach Windows 10. Sukces zależy m.in. od konfiguracji sprzętowej i zainstalowanych wcześniej łatek aktualizacyjnych systemu.
Systemy oferowane przez partnerów Henwar:
Naszym Klientom oferujemy szkolenia podnoszące świadomość bezpieczeństwa przetwarzania danych informatycznych. Na wspólnych spotkaniach dzielimy się najnowszą wiedzą z zakresu ochrony przed atakami na infrastrukturę IT oraz staramy się ugruntować dobre praktyki w pracy z narzędziami IT.
Po decyzji Zarządu w inwestycje IT przedsiębiorstw naszych Klientów, organizujemy szkolenia przedwdrożeniowe i prezentacje nowych rozwiązań sprzętowych lub oprogramowania branżowego.
Każde, zakończone wdrożenie rozwiązań informatycznych potwierdzone jest szkoleniem ze strony Henwar, potwierdzając tym samym stopień przygotowania zespołu pracowniczego Klienta do współpracy na nowej platformie IT.
Kilkadziesiąt podmiotów z różnych branż zdecydowało się na kompleksowe wykonawstwo projektu dzięki Henwar. Firmy te powierzyły nam, jako solidnemu, zaufanemu partnerowi:
Dzięki temu Klienci mają zapewnioną obsługę procesów informatycznych, świadczoną przez naszych wykwalifikowanych specjalistów od infrastruktury fizycznej aż po warstwę logiczną. Klienci mogą skupić swoje zasoby w obszarach, w których osiągają przewagę konkurencyjną nie troszcząc się o infrastrukturę techniczną.