KrofekSecurity – Page 55

Lahko se okužite preko LinkedIn Messenger

11. September 201711. September 2017 admin

Raziskovalci Chekpoint so odkrili, da se lahko okužite tudi preko LinkedIn Messengerja. LinkedIn sicer preverja datoteke, ki jih uporabniki pripnejo in pošljejo preko messengerja, toda napadalci znajo tudi zaobiti varnostno preverjanje datotek, ki se pošiljajo preko LinkedIn Messenger. Napadalci to naredijo tako, da skreirajo Power Shell script, ki ga nato shranijo kot .pdf datoteko in jo naložijo na LinkedIn. Naslednja možnost, ki jo imajo hekerji, je, da kreirajo Windows registry datoteko, ki vsebuje PowerShell script, in vse skupaj sranijo kot .pdf datoteko. Tretja možnost je kreiranje XLSM datoteke, ki ima vključen Macro, kar nato shranijo kot XLSX datoteko. In zadnja možnost je, da kreirajo DOCX datoteko z zunanjim objektom.

[urlpreviewbox url=”https://www.scmagazine.com/flaw-in-linkedin-messenger-could-harbour-malware/article/683067/”/]

Poslanih je bilo kar 23 milijonov elektronskih sporočil, okuženih z Locky ransomware, v 24 urah

5. September 20175. September 2017 admin

Locky ransomware se vrača nazaj; v prejšnjem tednu je bilo uporabnikom kot nezaželena pošta poslanih kar 24 milijonov elektronskih sporočil, ki so bila okužena z izsiljevalsko kodo Locky ransomware. Ta napad je zaenkrat eden od največjih napadov v drugi polovici leta 2017. Elektronska pošta, ki so jo dobili uporabniki, je vsebovala ZIP datoteko, v kateri je bila Visual Basic Script (VBS) datoteka. Ko je uporabnik kliknil na datoteko, je VNS skripta z interneta potegnila zadnjo verzijo Locky ransomware. Nato je Locky zakodiral datoteke na uporabnikovem računalniku s končnico [.]lukitus. Od okuženega uporabnika Locky zahteva plačilo 0,5 Bitcoins, kar je trenutno približno 1.900 €.

[urlpreviewbox url=”https://www.itnews.com.au/news/hackers-launch-massive-locky-ransomware-campaign-472295″/]

Pametna naprava je pwned na vsaki 2 minuti

4. September 20174. September 2017 admin

IoT naprava, ki je povezana v internet, je napadena kar vsako drugo minuto, kar je precej zaskrbljujoč podatek. Raziskovalec Johannes Ullrich, ki je izpostavil svoj digitalni snemalnik na internet, je prišel do podatkov, nad katerimi bi se bilo treba zamisliti. Med testiranjem, ki je trajalo 45 ur, so IoT napravo hekerji z uporabo pravilnega uporabniškega imena in gesla napadli kar 1250-krat.

Zanimiv članek o tem testu si lahko preberete na spodnji povezavi.

[urlpreviewbox url=”https://www.scmagazine.com/connected-devices-can-get-pwned-by-attackers-every-2-minutes/article/685542/”/]

Windows 10 z vgradno zaščito pred večino izsiljevalskih virusev

5. July 20175. July 2017 admin

Microsoft ima sedaj v Windows 10 preprosto rešitev za težave, ki skrbijo na milijone uporabnikov Windows 10 po svetu. Dva množična napada z izsiljevalskimi virusi WannaCry in Petya sta v prejšnjem mesecu povzročila kaos in motnje po celem svetu, ki so bolnišnice, bankomate, ladjarske družbe, vlade, letališča in avtomobilska podjetja prisilila k zaustavitvi dela za nekaj časa. In prav Microsoftu se sedaj najbolj očita, da ne zna preprečiti teh napadov in da so njegovi sistemi Windows zelo ranljivi. Po nedavnih uničujočih svetovnih izbruhih izsiljevalskega virusa je Microsoft sedaj končno potrdil, da je njegov operacijski sistem Windows ranljiv za take izsiljevalske viruse. Zato je za reševanje teh resnih težav Microsoft včeraj zvečer uvedel novo protivirusno funkcijo v najnovejšem Windows 10 Insider Preview Build (16232).

Anit-ransomware funkcija je poimenovana Controlled Folder Access in je del programa Windows Defender, ki blokira nepooblaščene programe, da ne spreminjajo pomembnih datotek v določenih “zaščitenih” mapah. Do zaščitenih map lahko dostopajo le aplikacije iz tako imenovanega belega seznama. Nekateri programi bodo avtomatsko na belem seznamu, saj jih bo tja dodal že Microsoft.

Kako vključiti Controlled Folder Access

Pojdi na Start menu in odpri Windows Defender Security Center.
Pojdi na Virus & Threat Protection nastavitev.
Vklopi stikalo.

Petwrap – nova različica črva WannaCry je že tu

29. June 201729. June 2017 admin

Kljub temu, da se je veliko pisalo in govorilo o računalniškem virusu WannaCry, očitno nekateri še vedno niso poskrbeli za svoje računalnike in jih nadgradili z varnostnimi popravki. Microsoft je celo izdal popravek za Windows XP. Okužbe z izsiljevalski virusom Petwrap pa dokazujejo prav to, da ljudje še vedno niso nadgradili svojih računalnikov z varnostnimi popravki.

Izsiljevalski virus Petwrap naj bi se skrival tudi v elektronski pošti. Skriva se v RTF priponki (ime oblike Order-20062017.doc) in izkorišča ranljivost CVE-2017-0199. Širitev preko elektronske pošte je nekaj, česar virus WannaCry ni poznal.

Največ okužb prihaja s področja Ukrajine in Rusije, kjer je bil črv vključen v sistem samodejnih popravkov za ukrajinski računovodski program.

Petwrap se od WannaCry razlikuje tudi po tem, da Petwrap zašifrira MFT (kazalci za datoteke), kar je za okuženega še bolj zoprno kot enkripcija datotek.

S podnapisi lahko prevzamejo nadzor nad sistemom

28. May 201728. May 2017 admin

Check Point strokovnjaki so ugotovili, da obstaja nov vektorski napad (attack vector), ki ogroža na milijone uporabnikov po svetu – napad s podnapisi. Hekerji okužijo podnapise, ki jih nato uporabniki prenesejo s priljubljenimi predvajalniki, kot na primer VLC, Kodi (XBMC), Popcorn-Time in strem.io. Možnost okužbe naj bi bilo na več kot 200 milijonov predvajalnikih video vsebin, ki trenutno poganjajo ranljivo programsko opremo. Prav zaradi razširjenosti in popularnosti predvajalnikov video vsebin naj bi šlo za najbolj razširjen napad, ki zlahka okuži vse uporabnike.

Zato naj uporabniki nadgradijo svoje predvajalnike video vsebin:

PopcornTime– Popravek narejen, vendar trenutno še ni dosegljiv na uradni spletni strani.
Uporabniki lahko ročno namestijo popravek, ki ga dobijo na spletni strani: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249
Kodi– Narejen popravek, ki je trenutno na voljo le kot izvorna koda. Popravek še ni objavljen na uradni strani, lahko pa si popravek z izvorno kodo najdete na povezavi: https://github.com/xbmc/xbmc/pull/12024
VLC– Uradni popravek je možno dobiti na povezavi: http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe
Stremio– Uradni popravek je možno dobiti na povezavi: https://www.strem.io/

[wpdevart_youtube]vYT_EGty_6A[/wpdevart_youtube]

[urlpreviewbox url=”http://blog.checkpoint.com/2017/05/23/hacked-in-translation/”/]

EsteemAudit – izkoriščanje ranljivosti RDP

27. May 201727. May 2017 admin

Pozor vsi, ki imate na ven odprt dostop RDP. Isto ranljivost, ki jo je uporabljal izsiljevalski virus WannaCry, sedaj uporablja tudi EsteemAudit, ki napada vse sisteme, ki imajo omogočen dostop preko RDP. Veliko podjetij uporablja dostop RDP za administracijo strežnikov oziroma za bolj enostavno delo od doma. Zato še enkrat opozorilo vsem, ki imate odprt port 3389 za RDP, da nadgradite programsko opremo ali pa da dostop RDP usmerite preko VPN-ja. V Sloveniji naj bi bilo približno 3000 takih sistemov, ki imajo odprt RDP.

[urlpreviewbox url=”http://thehackernews.com/2017/05/esteemaudit-windows-hacking.html”/]

Po izsiljevalskem virusu WannaCry sedaj sledita že UIWIX in Monero-Mining

26. May 201726. May 2017 admin

Teden po izsiljevalskem virusu WannaCry sta tu že nova virusa UIWIX in Monero-Mining. Izsiljevalski virus, ki je podoben izsiljevalskem virusu WannaCry, pa to v resnici ni. Izkoriščata isto varnostno luknjo MS17-010 na portu TCP port 445. Vendar gre za nekoliko naprednejši virus. UIWIX nima Kill switcha, s katerim bi lahko ustavili širjenje virusa.

[urlpreviewbox url=”http://blog.trendmicro.com/trendlabs-security-intelligence/wannacry-uiwix-ransomware-monero-mining-malware-follow-suit/?utm_source=trendlabs-social&utm_medium=socal&utm_campaign=05-2017-uiwix-ransoware”/]

Tudi Samba ranljiva – izsiljevalski virus SambaCry

26. May 201726. May 2017 admin

Podobno kot Windows je lahko ranljiv tudi sistem Linux, če ima nameščen programski paket Samba. Varnostna luknja CVE-2017-7494 je odkrita v Sambi (od verzije 3.5.0 naprej) in napadalcu omogoča oddaljeno izvajanje zlonamerne kode. Nasvet vsem uporabnikom, da nadgradite Sambo ali v smb.conf global “nt pipe support = no”:

Sambe pa ne uporabljajo le strežniki Linux in delovne postaje. Sambo uporabljajo tudi NAS strežniki, tiskalniki, predvajalniki video vsebin in mnogo drugih naprav. Prav zanimivo bo videti, kako se bodo na to varnostno luknjo odzvali proizvajalci takšnih naprav.

[urlpreviewbox url=”http://thehackernews.com/2017/05/samba-rce-exploit.html”/]

Video: WannaCry v bolnici

25. May 201725. May 2017 admin

Prejšnji teden je po svetu izbruhnil izsiljevalski virus WannaCry.

Kako biti CISO (glavni informatik, zadolžen za varnost) v neki bolnici, si lahko ogledate v sledečem videu. Ko malce pomisliš, da se to lahko zgodi tebi, te postane pošteno strah.

[wpdevart_youtube]6Tc40LIbfyE[/wpdevart_youtube]