Κρίσιμα θέματα ευπάθειας της Microsoft

14 Ιανουαρίου 2020: Σήμερα, η Microsoft κυκλοφόρησε τις μηνιαίες ενημερώσεις κώδικα (patches) της και μεταξύ αυτών ήταν τρία κρίσιμα ζητήματα Σοβαρότητας 1 που χρήζουν άμεσης προσοχής. Οι επιχειρήσεις θα πρέπει να ενεργοποιήσουν τη Διαδικασία Διαχείρισης Ειδοποιήσεων Ευπάθειας (Vulnerability Alert Management Process) για να διαχωρίσουν αυτές τις ειδοποιήσεις και να σχεδιάσουν αμέσως την ενημέρωση κώδικα το συντομότερο δυνατό. Παρακαλώ θεωρήστε αυτήν την ειδική συμβουλευτική ιστολογίου από το CyberHoot ως μια πολύ ασυνήθιστη περίσταση και λάβετε τα κατάλληλα μέτρα το συντομότερο δυνατό. Για να το θέσουμε σε προοπτική - ΟΛΕΣ οι πηγές μου στον κυβερνοχώρο υπονοούν το ίδιο πράγμα. Οι κυβερνητικοί φορείς εποπτείας του κυβερνοχώρου, όπως η CISA, εξέδωσαν μόνο τη δεύτερη... Οδηγία έκτακτης ανάγκης ποτέ για αυτά τα τρωτά σημεία.  Αυτό είναι σοβαρό.

Συστήματα που επηρεάζονται:

Ευπάθεια πλαστογράφησης CryptoAPI – CVE-2020-0601: Αυτή η ευπάθεια επηρεάζει όλα τα μηχανήματα που εκτελούν λειτουργικά συστήματα Windows 32 64 ή 10 bit, συμπεριλαμβανομένων των εκδόσεων Windows Server 2016 και 2019.

Ευπάθειες στην πύλη RD των Windows και στον υπολογιστή-πελάτη απομακρυσμένης επιφάνειας εργασίας των Windows – CVE-2020-0609, CVE-2020-0610 και CVE-2020-0611: Αυτά τα τρωτά σημεία επηρεάζουν τα Windows Server 2012 και νεότερες εκδόσεις. Επιπλέον, το CVE-2020-0611 επηρεάζει τα Windows 7 και νεότερες εκδόσεις. 

ΕΠΙΠΤΩΣΗ ΤΡΩΤΗΜΑΤΟΣ:

Αυτή η ενότητα της συμβουλευτικής ειδοποίησης περιγράφει τις πιθανές επιπτώσεις σε περίπτωση αξιοποίησης αυτών των ευπαθειών.

Ευπάθεια πλαστογράφησης CryptoAPI – CVE-2020-0601:

• Αυτή η ευπάθεια επιτρέπει σε ανεπιθύμητο ή κακόβουλο λογισμικό να μεταμφιέζεται σε νόμιμο λογισμικό που έχει υπογραφεί αυθεντικά από έναν αξιόπιστο ή αξιόπιστο οργανισμό. Αυτό θα μπορούσε να εξαπατήσει τους χρήστες ώστε να εγκαταστήσουν κακόβουλο λογισμικό που φαίνεται νόμιμο. Θα μπορούσε επίσης να εμποδίσει το προστατευτικό λογισμικό, όπως το antivirus, να εντοπίσει τέτοιες εγκαταστάσεις ως κακόβουλες. Επιπλέον, τα προγράμματα περιήγησης που βασίζονται στο Windows CryptoAPI θα ήταν τυφλά σε επιθέσεις, επιτρέποντας σε έναν εισβολέα να αποκρυπτογραφήσει, να τροποποιήσει ή να εισάγει δεδομένα στις συνδέσεις των χρηστών χωρίς ανίχνευση.

Ευπάθειες στην πύλη RD των Windows και στον υπολογιστή-πελάτη απομακρυσμένης επιφάνειας εργασίας των Windows – CVE-2020-0609, CVE-2020-0610 και CVE-2020-0611: 

• Αυτά τα τρωτά σημεία επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα, όπου αυθαίρετος κώδικας θα μπορούσε να εκτελεστεί ελεύθερα τόσο στην πύλη Web RD όσο και σε οποιονδήποτε υπολογιστή-πελάτη που συνδέεται με μια κακόβουλη πύλη. Τα τρωτά σημεία του διακομιστή δεν απαιτούν έλεγχο ταυτότητας [το οποίο είναι πραγματικά κακό] ή αλληλεπίδραση χρήστη και μπορεί να αξιοποιηθεί από ένα ειδικά σχεδιασμένο αίτημα. Η ευπάθεια του προγράμματος-πελάτη μπορεί να αξιοποιηθεί πείθοντας έναν χρήστη να συνδεθεί σε έναν κακόβουλο διακομιστή. Όταν συνδυαστούν, οποιαδήποτε πύλη Web RD μπορεί να αναληφθεί και να γίνει κακόβουλος διακομιστής, ο οποίος στη συνέχεια αναλαμβάνει τον έλεγχο όλων των συνδεδεμένων μηχανημάτων-πελατών. [Είπα εγώ ότι αυτό ήταν πολύ κακό;]

Υπάρχουν καλά νέα;

Στην πραγματικότητα ναι. [Μπά!Αυτά τα τρωτά σημεία ανακαλύφθηκαν και αναφέρθηκαν, για πρώτη φορά, από την NSA, απευθείας στη Microsoft. Αυτό σημαίνει ότι έχουμε ένα πολύ μικρό χρονικό περιθώριο για να εφαρμόσουμε αυτές τις ενημερώσεις κώδικα χωρίς μεγάλο κίνδυνο παραβίασης.

Ωστόσο, ένα πολύ μικρό χρονικό διάστημα στο Διαδίκτυο θα μπορούσε να σημαίνει ημέρες ή εβδομάδες. 

Γιατί ρωτάς αυτό; 

Αναλύοντας τα patches που κυκλοφόρησε σήμερα η Microsoft, οι κακόβουλοι χρήστες μπορούν να εντοπίσουν γρήγορα ποιος κώδικας άλλαξε. Τα patches είναι σαν ένας χάρτης θησαυρού για τους χάκερ που ακολουθούν, μέσω αλλαγών στον πηγαίο κώδικα, αντίστροφης μηχανικής τους, μέχρι να εντοπίσουν την ευπάθεια. Στη συνέχεια, τα μετατρέπουν σε όπλα. it Αυτά. Αυτή τη στιγμή βρίσκεται σε εξέλιξη ένας αγώνας δρόμου για τον εντοπισμό και την οπλοποίηση αυτών των ευπαθειών από τα κράτη και τις ομάδες χάκερ. Έχουμε μέρες, ίσως εβδομάδες, πριν αυτές οι ευπάθειες οπλιστούν και αρχίσουν να εκμεταλλεύονται τα συστήματά σας.

Τι πρέπει να κάνω για την επιχείρησή μου;

1. Εάν έχετε μια Διαδικασία Διαχείρισης Ειδοποιήσεων για Ευπάθειες, ακολουθήστε τις οδηγίες της για ένα σύνολο ευπαθειών Βαθμού Σοβαρότητας 1.
2. Μέχρι να ενημερώσετε όλα τα συστήματά σας. Παρακολουθήστε τα ιστολόγια ειδήσεων για την κυβερνοασφάλεια για τυχόν ενδείξεις εισβολής κώδικα εκμετάλλευσης.
3. Εάν δεν έχετε VAMP, τότε συγκεντρώστε την τεχνική σας ομάδα (ή τις τεχνικές σας ομάδες) και καταρτίστε ένα σχέδιο για την επιδιόρθωση όλων των κρίσιμων συστημάτων σας εντός 10 ημερών (συντομότερα αν είναι δυνατόν).
4. Για όσους από εσάς δεν έχετε καθορισμένη διαδικασία διαχείρισης επιδιορθώσεων, μόλις ολοκληρώσετε αυτήν την άσκηση πυρκαγιάς, θα πρέπει Εγγραφείτε στο CyberHoot, κατεβάστε το VAMP μας και προσαρμόστε το στον οργανισμό σας.

Τι πρέπει να κάνω για τον εαυτό μου προσωπικά;

Ο αριθμός έκδοσης των Windows σας ενδέχεται να διαφέρει, αλλά αυτή είναι η ενημέρωση που θέλετε – μεταβείτε στη διεύθυνση Ρυθμίσεις > Ενημέρωση & Ασφάλεια > Το windows Update:

Αναφορές Άρθρα:

https://cyber.dhs.gov/ed/20-02/ 

https://www.us-cert.gov/ncas/alerts/aa20-014a

Ιστολόγιο ειδήσεων για την κυβερνοασφάλεια του Brian Krebs

Ιστολόγιο κυβερνοασφάλειας της Sophos – Κρίσιμες ευπάθειες της Microsoft = Ενημέρωση τώρα

Κάνετε αρκετά για να προστατεύσετε την επιχείρησή σας;

Εγγραφείτε στο CyberHoot σήμερα και κοιμηθείτε καλύτερα γνωρίζοντας το δικό σας

Οι εργαζόμενοι είναι εκπαιδευμένοι στον κυβερνοχώρο και σε εγρήγορση!

Εγγραφείτε σήμερα!