A PuTTY-ot senkinek sem kell szerintem bemutatni, sajnos áldozatul esett a Lazarus nevű észak-koreai hackercsapatnak az alábbi programokkal egyetemben: KiTTY, TightVNC, Sumatra PDF Reader.
Az üzemeltetési munkák során biztosan sokan használjátok ezeket, így mindenképp érdemes ellenőrizni a telepítés előtt, hogy a telepítő csomag tartalmazza-e a malware-t (ZetaNile).
A Canonical Snap Store-t rosszindulatú alkalmazások feltöltésével támadták meg. 2023. szeptember 28-án a Snap Store csapatát egy lehetséges biztonsági incidensről értesítették. Számos Snap-felhasználó több, nemrégiben közzétett, potenciálisan rosszindulatú snappet jelentett. E bejelentések következtében a Snap Store csapata azonnal eltávolította ezeket a snaps, és többé nem lehet fellelni, sem telepíteni őket. Emellett szünetel az automatikus snap-regisztráció is a biztonsági incidenst követően.
Igyekszünk gyakran beszélni a Linux malware-ekről, mert bár gyakran gyorsan foltozzák, és a Windows, illetve a macOS-hez képest nem nagyon használják ki, de azért mégis jó ha felkészül a linux-os világ arra, ha majd jobban a célkeresztben lesz.
Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.
A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.
Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.
Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.
A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.
Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.
A BlackLotus egy fejlett megoldás, amely képes megkerülni a Windows Secure Boot védelmét és amelyre először 2022 októberében a Kaspersky hívta fel a figyelmet. Ezt a Baton Drop (CVE-2022-21894, CVSS score: 4.4) nevű ismert Windows hiba kihasználásával éri el, amelyet a Secure Boot DBX visszavonási listájára fel nem vett sebezhető boot loadereket fedeztek fel. A sebezhetőséget a Microsoft 2022 januárjában orvosolta.
Az ESET kutatói felfedeztek egy új Lazarus Operation DreamJob támadási kampányt, amely Linux felhasználókra céloz. Az Operation DreamJob elnevezésű sorozatban a csoport social engineering technikákat használ, hogy befolyásolja célpontjait, hamis állásajánlatokkal becsalogatva őket.
Az alábbi hibákra derült fény a szokásos keddi hibajavító napon, amelyk közül több súlyos, és azonnal javítandó, és a kárenyhítést is érdemes elvégezni. Az első a Microsoft Outlook jogosultságemelkedési hibát javított, amely lehetővé teszi, hogy speciálisan megalkotott e-mailek kényszerítsék a célpont eszközét arra, hogy csatlakozzon egy távoli URL-címhez, és átadja a Windows-fiók Net-NTLMv2 hash-ját. A hiba már akkor aktiválódik, mielőtt a levél megjelenne a előnézeti ablakban. A másik sebezhetőség aktív támadás alatt áll, bár ez sokkal kevésbé izgalmas. A sebezhetőség lehetővé teszi, hogy a támadók olyan fájlokat hozzanak létre, amelyek kikerülik a Mark of the Web (MOTW) védelmi mechanizmusait. A HTTP protokoll verem távoli kód végrehajtási sebezhetősége is elég súlyos, CVSS 9,8-as besorolású, és lehetővé teszi a távoli, hitelesítetlen támadók számára, hogy felhasználói interakció nélkül rendszer szintű kódot hajtsanak végre. Ez a kombináció lehetővé teszi a kódfertőzési láncolat gyors terjedését. Az Internet Control Message Protocol (ICMP) távoli kódvégrehajtási sebezhetősége, amely a jelenleg támogatott összes Windows rendszert érinti. Ugyanúgy összes Windows rendszert érinti egy távoli eljáráshívás (RPC) távoli kód végrehajtási sebezhetősége is. Illetve a támadók SYSTEM jogosultságot szerezhetnek egy megfelelően előkészített XPS fájlt kinyomtatva is.
Összegezve: a cikkben említett zsarolóprogram az IBM Aspera Faspex fájlcserélő rendszer hibáját használja ki a fertőzéshez. Az IBM Aspera Faspex hasonló a SendAnywhere-hez, azaz a kliens program feltölti egy IBM szerverre a küldendő fájlt, a címzettnek meg küld egy levelet a letöltési linkkel. Ha nem használod ezt a fájlcserélőt, akkor ez a fenyegetés nem érint, de az eset tanulsága az, hogy a Linux sajátosságainak köszönhetően ezek a férgek másként terjednek, mint a Windowst célzó változatok.
Az itthon is ismert KFC, Pizza Hut, és az itthon kevésbé ismert Taco Bell, és The Habit Burger Grill étteremláncokat franchise rendszerben üzemeltető Yum! Brands, Inc. január 18-án bejelentette, hogy ransomware támadás érte őket, ami bizonyos informatikai rendszereiket érintette.
Októberben írtuk hírt arról, hogy Két új Microsoft Exchange zero-day sebezhetőségre derült fény (ProxyNotShell). Miután az első javítása a problémának nem sikerült, November 8-án megjelent frissítés hozott megnyugtató javítást ezzel a hibával és újabb két hibával (CVE-2022-41123, CVE-2022-41080, összefoglaló néven: OWASSRF) kapcsolatban is, mert az első verzió megkerülhető megoldást hozott csak. Ez utóbbi kettő szintén jogosultságemelést tesz lehetővé, amit a Microsoft is mindkét esetben (1, 2) elismert és javított 2022. november 8-án. Összesen 180 ezernél több Microsoft Exchange szerver üzemel publikusan a világban (ebből 100 ezer Európában, 50 ezer Észak-Amerikában), és a mai napig ezekből 62 000 sebezhető (ebből Európából 32 ezer, 18 ezer Észak-Amerikában) - a Shadowserver adatai alapján. Ezek az adatok a CVE-2020-0688, CVE-2021-26855, CVE-2021-27065, CVE-2022-41082 sérülékenység alapján készült, amelyeket mindenképpen sürgősen be kell foltozni, a további nagyobb problémák, például zsarolóvírusos támadások elkerülése végett. Ezeket a sebezhetőségeket többek között a Play zsarolóvírus terjesztésére is felhasználják napjainkban. Emlékeztetőül a a CVE-2022-41082 hibáról ami távoli kódfuttatást (RCE) teszi lehetővé és a CVE-2022-41040 hibáról, ami egy SSRF (Server-Side Request Forgery) sebezhetőség:
Nem szoktunk beszámolni minden Windows hibáról, mert akkor egy új weboldalt kellene neki nyitnunk. Mivel van, hogy a Linux rendszerek mellett elkerülhetetlen a Windows rendszerek felügyelete is, a kritikusabb hibákat szoktuk jelezni. A Microsoft december 13-án átminősítette az SPNEGO NEGOEX egy eredetileg szeptemberben javított sebezhetőségét, miután egy biztonsági kutató felfedezte, hogy az távoli kódfuttatáshoz vezethet.
A GTSC nevű vietnámi kiberbiztonsági cég két nulladik napi hibát azonosított Micrososft Exchange levelezőszerverekben, amelyeket fenyegetési szereplők támadások során aktívan ki is használnak. A hibákhoz a gyártó még nem adott ki biztonsági frissítést, Exchange adminok számára javasolt a leírásban található megkerülő megoldások alkalmazása.
A rosszindulatú bővítmények célja, hogy nyomon kövessék, amikor a felhasználók e-kereskedelmi weboldalakat látogatnak, és úgy módosítsák a látogató sütijét, hogy úgy tűnjön, mintha a látogató egy referrer linken keresztül érkezett volna. Ezért a bővítmények szerzői affiliate díjat kapnak az elektronikus üzletekben történő vásárlásokért.
A McAfee kutatói által felfedezett öt rosszindulatú kiterjesztés, amit el kell távolítani a Chrome (és leszármazott) böngészőkből a következőek:
Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) - 800 000 letöltés.
Netflix Party 2 (flijfnhnhifgdcbhglkneplegafminjnhn) - 300 000 letöltés.
Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) - 200,000 letöltés
A „Full Page Screenshot Capture - Screenshotting” és a „FlipShope - Price Tracker Extension” még mindig elérhető a Chrome Web Store-ban.
A két Netflix Party bővítményt eltávolították az áruházból, de ez nem törli őket a webböngészőkből, így a felhasználóknak manuálisan kell eltávolítaniuk őket.