Новости сетевой безопасности, все новости по сетевой безопасности

Хакеры взломали сервисы Microsoft

Злоумышленники организовали атаки на пользователей Microsoft Exchange. Об этом сообщает издание Bleeping Computer.

Об уязвимостях, объединенных под общим названием ProxyShell, на конференции Black Hat рассказал специалист по безопасности Оранж Цай (Orange Tsai). В настоящий момент эксперты упоминают три разновидности уязвимостей под названиями CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207. Создатели вредоносного ПО сканируют сеть в поисках незащищенных корпоративных систем и внедряют в них модифицированные программы.

Злоумышленники используют веб-оболочку сервиса для загрузки особого ПО в папку с удаленным доступом. Документы создаются в системном разделе Windows по адресу C:\Windows\System32 и в корневом каталоге самой программы Microsoft Exchange, используемой для обмена сообщениями и документами в корпоративной среде. Также создатели вирусного ПО запускают удаленный загрузчик ApplicationUpdate.exe, который открывает исполняемый файл ApplicationUpdate.exe ежедневно в час ночи.

По словам экспертов, им известны не только методы взлома, но и веб-адреса, с помощью которых неизвестные взламывают корпоративные сети клиентов Microsoft. Авторы заметили, что в зоне риска находятся те пользователи, которые не обновляют Microsoft Exchange. В этой связи специалисты советуют регулярно устанавливать обновления от Microsoft на своих компьютерах.

Ранее специалисты по безопасности рассказали о возможности взлома компьютеров через офисное оборудование. Проникновение на компьютеры пользователей удалось осуществить на базе новой версии Windows.

lenta.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

Ломающей Windows уязвимости нашли новое применение

Хакеры продолжили использовать новую уязвимость Windows для вымогания денег. Об этом сообщается в блоге компании Cisco.

Аналитики Cisco Talos нашли новый способ кражи денег пользователей Windows с помощью уязвимости PrintNightmare, которая заключается во взломе системы через принтеры и офисное оборудование. Злоумышленники используют программу под названием Vice Society, которая внедряется на зараженные компьютеры. После установки система переадресовывает пользователей на специальный сайт, где жертве предлагают заплатить выкуп. В противном случае хакеры обещают заблокировать данные на ПК.

Vice Society связывают с группой вымогателей HelloKitty, которые нашли применение PrintNightmare. Неизвестные с помощью dll-файлов взламывают службу диспетчера очереди печати Windows и получают доступ к компьютерам жертв.

«Vice Society — относительно новый игрок в сфере программ-вымогателей», — отмечается в отчете Cisco Talos. Как правило, они ориентированы на мелкие и средние по размеру корпоративные сети. Часто подобные программы используют в сетях учебных заведений, которые относительно плохо защищены от внешних угроз.

По словам экспертов Cisco Talos, чтобы защититься от атаки, нужно отключить диспетчера очереди печати Windows. Также специалисты советуют регулярно устанавливать обновления от Microsoft.

Ранее специалисты выяснили, что операторы программ-вымогателей научились взламывать Windows через офисное оборудование. Для этого они используют уязвимость PrintNightmare, которая была описана еще в начале июля.

lenta.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

ФСБ предупредила пользователей Windows об опасной уязвимости

Национальный координационный центр по компьютерным инцидентам ФСБ сообщил об обнаружении уязвимости нулевого дня в Windows. Об этом пишет агентство «Интерфакс».
Уязвимость затрагивает Windows 7, 8.1 и 10.

Сообщается, что данная брешь в системе безопасности позволяет хакерам заразить компьютер жертвы вредоносным программным обеспечением. Уязвимость затрагивает Windows 7, 8.1, 10, а также Microsoft Windows Server 2008, 2012, 2016, 2019 и 2022.

Отмечается, что в ведомстве имеются факты о доставке таким образом программы Cobalt Strike, которая использовалась в серии атак на российские банки в 2016 году. Представители Microsoft пока не дали свой комментарий.

mail.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

США предупредили о программной уязвимости, представляющей угрозу для сотен миллионов устройств по всему миру

Выявленная недавно уязвимость в библиотеке Log4j языка программирования Java представляет угрозу для сотен миллионов устройств по всему миру, передаёт CNN со ссылкой на американские власти. При этом, по мнению экспертов, китайские хакеры сейчас активно пытаются использовать эту уязвимость.

Сотни миллионов устройств по всему миру могут быть подвержены рискам из-за недавно выявленной уязвимости в библиотеке Log4j языка Java, сообщает CNN. Высокопоставленный чиновник администрации президента США Джо Байдена в понедельник предупредила руководителей крупных американских промышленных предприятий о том, что им необходимо принять меры для устранения «одного из самых серьёзных» изъянов, которые она когда-либо видела в своей карьере.

В то время как крупные ИТ-компании изо всех сил пытаются сдержать последствия инцидента, официальные лица США провели телефонную беседу с руководителями отрасли, предупредив, что хакеры активно используют данную уязвимость.

«Эта уязвимость — одна из самых серьёзных, которые я видела за всю свою карьеру, если не самая серьёзная», — сказала Джен Истерли, директор Агентства по кибербезопасности и защите инфраструктуры США (CISA).

Она также добавила: «Мы ожидаем, что эта уязвимость будет широко использоваться опытными субъектами, и у нас мало времени, чтобы предпринять необходимые шаги и снизить вероятность разрушительных инцидентов».

Это самое серьёзное предупреждение официальных лиц США о данном изъяне программного обеспечения с тех пор, как в конце прошлой недели появились новости о том, что хакеры использовали его, чтобы попытаться проникнуть в компьютерные сети различных организаций.

Как поясняет издание, библиотеку Log4j крупные организации, в том числе некоторые из крупнейших мировых ИТ-гигантов, используют для регистрации информации в своих приложениях. Выявленная уязвимость предоставляет хакеру относительно простой способ получить доступ к компьютерному серверу организации, откуда злоумышленник иными способами может проникнуть в другие системы, входящие в сеть организации.

Эксперты сообщили CNN, что на устранение уязвимостей могут уйти недели и что китайские хакеры предположительно уже пытаются их использовать.

Между тем компания Apache Software Foundation, которой принадлежит библиотека Log4j, уже выпустила для организаций патч для исправления проблем с безопасностью.

russian.rt.com

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

В реестре Windows нашли опасный вирус

Вредоносное ПО DarkWatchman обнаружили в реестре ОС Windows.

Специалисты агентства Prevailion обнаружили новый опасный вирус для Windows, который прячется в реестре ОС после установки. Об этом сообщает издание Bleeping Computer.

Вирусная программа под названием DarkWatchman представляет собой фишинговое программное обеспечение, которое распространяется через электронную почту. Судя по содержанию писем, вирус могли создать русскоязычные хакеры или же он рассчитан на российскую аудиторию. К зараженному вирусом письму прикладывается ZIP-файл, который имитируется под текстовый документ.

При открытии документа выдается ошибка, однако установка программы происходит в фоновом режиме. Вредоносная программа основана на JavaScript и весит всего около 32 килобайт. Специалисты отметили, что DarkWatchman не загружается на диск компьютера, а хранится в реестре Windows, где его крайне сложно найти неопытному пользователю.

Программа запускается каждый раз, когда пользователь включает устройство. В коде вируса находится список из десяти доменов, с помощью которых ПО управляется удаленно. Также ежедневно программа генерирует до 500 доменов, что позволяет ей сохранять активность даже при блокировке ряда серверов. Специалисты Prevailion рекомендовали владельцам ПК пользоваться антивирусом и не открывать подозрительные письма.

В середине сентября эксперты по безопасности из компании SentinelLabs рассказали о появлении новой версии опасного банковского трояна ZLoader. Благодаря наличию поддельного сертификата безопасности вирус может отключить встроенный антивирус.

lenta.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

Windows взломали через уязвимость девятилетней давности

Злоумышленники начали взламывать Windows через старую уязвимость.

Участились случаи взлома Windows с помощью бреши в системе, которая была устранена девять лет назад. Об этом сообщает издание Wired.

Участившиеся случаи взлома с помощью набора вредоносных программ ZLoader обнаружили эксперты Check Point Research. Зловредное ПО используется хакерами для кражи конфиденциальных данных и атак с целью вымогательства денег. Специалисты заметили, что в настоящий момент злоумышленники начали взламывать компьютеры через уязвимость в библиотеках DLL, которая была устранена в 2013 году.

Эксперты отметили, что данная уязвимость позволяет хакерами использовать легальное ПО, имеющее цифровую подпись Microsoft. Однако они добавляют к программе вирус, который защитные системы не замечают из-за наличия цифровой подписи.

«Когда мы видим подписанный Microsoft файл, например DLL, мы почти уверены, что можем доверять ему. Однако практика показывает, что это не всегда так», — заметил эксперт Check Point Research Коби Айзенкрафт. По словам специалиста, проблема заключается в том, что пользователи игнорируют предупреждения системы. Также Microsoft не собирается вводить более строгие правила для проверки сторонних файлов.

«В результате данного метода многие вредоносные программы могут проникнуть в компьютер и заразить его», — заметил Айзенкрафт. По словам эксперта, в ближайшее время Check Point Research ожидает рост атак с использованием нового метода.

В середине сентября эксперты по безопасности из компании SentinelLabs рассказали о появлении новой версии опасного банковского трояна ZLoader. Вредоносный код интегрируется в контекстную рекламу Google AdWords, а затем через браузер проникает в компьютер жертвы.

lenta.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

Новые патчи безопасности: исправлено 60 уязвимостей

Компания Microsoft исправила очередные 60 уязвимостей безопасности в своих продуктах, 22 уязвимости из которых в браузере Edge, в очередной вторник исправлений безопасности. При этом, ни одна из уязвимостей еще не используется хакерами и в списке нет критических уязвимостей. Однако, в любом случае, все обновления рекомендуются к немедленной установке.

Исправления безопасности февраля 2022 года

В списке из 60 уязвимостей безопасности:
16 уязвимостей удаленного исполнения кода
16 уязвимостей повышения привилегий пользователя
5 DoS уязвимостей
5 уязвимостей раскрытия информации
3 уязвимости обхода функций + 3 уязвимости спуфинга
22 уязвимости в Edge

Закрыта в том числе и ставшая известной еще до выхода патчей уязвимость повышений привилегий CVE-2022-21989 ядра Windows. Немедленная установка апдейтов рекомендуется, как корпоративным, так и частным пользователям.

thevista.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

Опасный троян прочел все письма за полчаса

Троян Qbot оказался способным быстро заражать компьютеры в сети

Аналитики DFIR отметили высокую эффективность вредоносного ПО Qbot. Об этом сообщается на сайте организации.

Специалисты заметили, что вредносное ПО Qbot — известное также под названиями Qakbot или QuakBot — появилось еще в 2007 году. Однако даже спустя 15 лет вредоносная программа применяется в мошеннических кампаниях. Так, вирус стали активнее использовать для кражи данных во второй половине 2021 года.

Опасный троян как правило загружается на компьютер жертвы через модифицированный текстовый документ через электронную почту. Qbot настроен на загрузку вредоносного ПО с удаленного сервера. По словам специалистов, вирусная программа очень быстро атакует компьютеры и похищает личные данные: Qbot оказывается способным быстро заразить все компьютеры, подключенные к одной сети. При активации программа может подключиться к электронной почте и прочесть все письма примерно за полчаса, а затем скачать пароли из браузера жертвы.

В декабре специалисты «Лаборатории Касперского» заявили, что за первые шесть месяцев 2021 года число атак с использованием Qbot увеличилось на 65 процентов. Эксперты Microsoft также отметили высокий уровень опасности ПО из-за модульной конструкции трояна.

В августе 2020 года эксперты компании Check Point описали принцип действия трояна Qbot, способного собирать письма и пароли из почтового клиента Outlook. Выяснилось, что чаще всего троян атаковал пользователей компьютеров из США, Индии, Израиля и Италии.

lenta.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

Компьютеры научились взламывать видеокартами

Хакеры похитили сертификаты Nvidia и научились взламывать компьютеры.

Хакеры стали использовать сертификаты Nvidia и использовать их для распространения вирусов. Об этом сообщает издание BleepingComputer.

Авторы заметили, что злоумышленники научились использовать официальные сертификаты Nvidia в мошеннических целях. Ранее в Nvidia подтвердили, что серверы компании подверглись кибератаке, в результате которой были украдены некоторые данные. Позже представители группы хакеров Lapsus$ заявили, что в ходе атаки было похищено около одного терабайта информации.

Специалист по безопасности Билл Демиркапи (Bill Demirkapi) рассказал, что хакеры скомпрометировали два сертификата подписи кода, которые используются для верификации ПО для видеокарт Nvidia. Сертификаты позволяет разработчикам оставлять цифровую подпись на исполняемых файлах и драйверах, чтобы Windows и конечные пользователи могли проверить достоверность программного обеспечения. В случае их злонамеренного использования мошенники могут выдавать вредоносное ПО за полезное, обходить защитные системы компьютеров и взламывать оборудование.

Эксперты сообщили, что, хотя срок действия обоих украденных сертификатов Nvidia истек, Windows по-прежнему разрешает загрузку драйверов, подписанных с их помощью, в операционную систему. «Есть надежда, что из-за возможности злоупотреблений украденные сертификаты будут добавлены в список отзыва Microsoft в будущем», — подытожили журналисты.

Осенью специалисты обнаружили новый способ взлома компьютеров с помощью видеокарт. Анонимные хакеры научились прятать вредоносный код в графическом процессоре видеокарты и затем исполнить его на ПК жертвы. Также сообщалось, что данный код невозможно найти с помощью антивируса.

lenta.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««

Хакеры похитили данные Microsoft

Хакеры из группировки Lapsus$ заявили, что похитили 37 гигабайт данных Microsoft.

Хакеры из группировки Lapsus$ заявили, что взломали серверы Microsoft и похитили большое количество данных. Об этом сообщает издание BleepingComputer.

Журналисты ссылаются на Telegram-канал группировки, в котором утверждается, что серверы Microsoft Azure DevOps, где хранился исходный код некоторых проектов компании, были взломаны. В сообщении говорилось, что были похищены данные о Bing, Cortana и прочих сервисах корпорации. Злоумышленники также выложили архив с данными объемом девять гигабайт в открытый доступ в сети.

В Lapsus$ рассказали, что поделились исходным кодом около 250 проектов компании. Представители группировки отметили, что всего было украдено около 37 гигабайтов данных. Исследователи по вопросам безопасности изучили архивы и подтвердили, что они действительно содержат скрытую информацию, относящуюся к проектам Microsoft. В ответ на запрос журналистов представители корпорации не стали подтверждать факт утечки, однако заявили, что проведут расследование.

«С моей точки зрения, они продолжают получать доступ к корпоративным данным благодаря инсайдерам», — заявил BleepingComputer аналитик Том Малка (Tom Malka). По его мнению, хакеры могли похитить ценные данные с помощью корпоративных клиентов Microsoft.

В начале марта хакеры украли у Samsung исходный код программного обеспечения смартфонов Galaxy. Ответственность за взлом взяли на себя представители группировки Lapsus$.

lenta.ru

»» Нажмите, для закрытия спойлера | Press to close the spoiler ««