Microsoft Patch Tuesday

Pienākusi Microsoft Patch Tuesday, kurā izlabotas 71 ievainojamības , t.sk. 4 nulles dienas caurumi:

• CVE-2021-40486: patvaļīga koda palaišana caur Microsoft Office (skar arī Preview Pane, Sharepoint Server un Microsoft Office Web Apps Server)
• divas RCE ievainojamības Hyper-V virtualizācijas rīkā (Win10, Win11, Windows Server)
• CVE-2021-36970: kārtējais PrintNightmare sērijas bugs, ielāps izraisījis problēmas daudzās organizācijās
• patvaļīga koda palaišana (Remote Code Execution) iekš Windows DNS Server
• CVE-2021-26427: kārtējais Microsoft Exchange ielāps (caurums atrasts ar NSA atbalstu)

iOS “0day” ievainojamība

0day ievainojamība iOS (atrisināts 15.0.2 versijā), izmantota reālos uzbrukumos. Uzinstalētai aplikācijai bija iespēja iegūt kodola līmeņa tiesības. Noderīgi priekš jailbreaks.

Android atjauninājumi

Remote Code Execution ievainojamība atklāta arī Android operētājsistēmā (CVE-2021-0870), bet šajā gadījumā nav informācijas, ka tā būtu jau ekspluatēta.

Adobe reader

Divas memory corruption ievainojamības, kas noved pie patvaļīga koda palaišanas iekš Adobe Reader

Apache

Populārā web serverī Apache atrasta directory traversal ievainojamība, kas pie ieslēgta CGI darbojas arī kā Remote Code Execution. Mitigācijas:

• Require all denied
• Mod_cgi disabled

Apache izstrādātājiem ar pirmo piegājienu šo ievainojamību izlabot nesanāca, kopumā tika izlaisti divi ielāpi. Aktuālā versija, kurā ievainojamība izlabota: 2.4.51

Nagios

Laiks atjaunināt Nagios monitoringa rīku, jo tajā izlaboti:

• SQL injection
• failu dzēšana no servera
• XSS

Uzlauzts Twitch

Ticis uzlauzts lielākais streaming portāls Twitch. Internetā nopublicēti nozagtie dati, 125 GB. Arhīvs saturēja pirmkodu, rīkus un dokumentāciju. Twitch apgalvo, ka lietotāju paroles un kredītkaršu dati nav atklāti. Droši vien noderīgākā informācija - payment info, cik daudz kuri kanāli nopelnījuši.

Vēlāk notika arī defacement.

Twitch publicētais uzbrukuma izskaidrojums - “kļūdaina servera konfigurācija”, izklausās pēc atvērtas datubāzes.

APT uzbrukumi Gmail lietotājiem

Google brīdina par phishing uzbrukumu vilni, ko veicis Fancy Bear. 2021. gada laikā Google izsūtījuši 50'000 brīdinājumus par atvairītiem Gmail kontu uzlaušanas mēģinājumiem (30% pieaugums salīdzinot ar iepriekšējo gadu).

Google ieteiktais risinājums skartajiem lietotājiem — Advanced Protection Program, šī gada laikā 10'000 lietotājiem tiks arī izplatītas bezmaksas drošības atslēgas.

Mazākiem biznesiem Google piedāvās jaunu drošības programmu, kas ļaus pārvaldīt organizācijas lietotaju Pixel telefonus un Chromebook datorus, nodrošinot “Endpoint Protection” sadarbībā ar Crowdstrike un tīkla aizsardzību sadarbībā ar Palo Alto.

GitKraken

Atklāta ievainojamība GitKraken rīka ģenerētajās SSH atslēgās. Lielākie git servisu provaideri atsauks skartās atslēgas.

Desorden Group uzbrukums Acer kompānijai

Desorden Group uzbrūk Acer. Grupa, kuras moto ir “haoss un nemiers” (chaos and disorder), esot nozagusi 60GB failu no Acer korporācijas. Dati tiek izsūtīti žurnālistiem un publicēti interneta forumos.

Acer apgalvo, ka skarti tikai Indijas klienti, bet uzbrucēji sola publicēt datus arī no citiem ofisiem.

Yanluowang grupa

Uzradusies jauna ransomware grupa, kas atšķiras ar savu agresivitāti. Sola veikt dDoS uzbrukumus, dzēst datus, veikt atkārtotus uzbrukumus, ja kompānijas griezīsies uz policiju vai neizmaksās izpirkuma naudu gana ātri.

Ransomware operatoru aresti

28. septembrī ar Eiropola un FBI atbalstu, Ukrainā arestēti divi cilvēki, kas veikuši ransomware uzbrukumus. Nav minēta konkrēta grupa, bet pieminētais darbības laiks (sākot ar 2020. gada aprīli) un pieprasītās izpirkuma naudas (no 5 līdz 70 miljoniem eiro), sakrīt ar REvil grupas uzbrukumiem.

Counter-Ransomware Initiative Meeting

Divas dienas ilgstošajā sammitā tikās 31 valstis (t.sk. Lietuva un Igaunija), lai apspriestu izspiedējvīrusu problēmu.

2020. gadā ransomware uzbrukumu rezultātā samaksātās izpirkuma naudas sasniedza $400 miljonus. 2021. gada pirmajā pusē vien šis rādītais sasniedzis $600 miljonus.

Šādi naudas atmazgāšanas apjomi iespējami dēļ kriptovalūtu popularizēšanas, tādēļ tiek plānota internacionāla kooperācija vienota regulējuma ieviešanai.

Apple pētījums par “sideloading” riskiem

Apple apgalvo, ka sideloading iespējas ieviešana novedīs pie vīrusiem. Taču zināms, ka krāpnieki jau šobrīd pārliecina cilvēkus instalēt viltus kriptovalūtu aplikācijas, caur Enterprise Signature sertifikātiem (kas faktiski nodrošina “sideloading” līdzvērtīgu funkciju).

Excel maacros (XLM) atslēgšana

Microsoft sola līdz gada beigām atslēgt vecākus Excel macros (XLM), iesakot lietotājiem tā vietā izmantot VBA Macros (kas ir saderīgi ar Anti-Malware Scan Interface).

Sysmon for Windows

Microsoft publicējuši Sysmon rīka portu priekš Linux. Sysmon ir Windows vidē populārs sistēmas monitoringa rīks, kas ļauj sekot līdzi sistēmā palaistajiem procesiem, atvērtajiem failiem, utt.