Lata mijają, a e-mail dalej jest ulubionym wektorem ataku cyberprzestępców. Trudno wyobrazić sobie działanie średnich i dużych firm bez poczty, a uruchomienie złośliwego “makra” przez jednego, nieświadomego lub nieuważnego pracownika może być fatalne w skutkach… * Zdjęcie przedstawia przykładowy dokument ze złośliwym “makrem” Cyberprzestępcy prowadzący kampanię zazwyczaj przedkładają “ilość” nad…
Czytaj dalej »
Bohaterem jest ponownie krytyczna podatność (czy raczej seria podatności) w serwerze pocztowym Exchange. Podatność od jakiegoś czasu jest w najlepsze exploitowana przez niemal tuzin grup APT, a w międzyczasie ktoś postanowił udostępnić exploita dla „rynku cywilnego”. Exploit został umieszczony przez badacza na będącym we władaniu Microsoftu GitHub-ie. Po krótkim czasie…
Czytaj dalej »
Jeśli posiadasz usługę DNS uruchomioną na Windows Serwerze powinieneś przyspieszyć łatanie. Microsoft właśnie opublikował patcha na tę lukę: Windows DNS Server Remote Code Execution Vulnerability Wycena ryzyka w skali CVSS to niemal max (9.8/10), Microsoft wspomina też, że prawdopodobnie niebawem powstaną działające exploity (Exploitation More Likely). O podatności pisze również…
Czytaj dalej »
Microsoft Exchange Server jest rozwiązaniem, które od prawie ćwierć wieku wyznacza pewien standard pracy grupowej. Warto pamiętać, że jest to nie tylko serwer pocztowy, a połączone z Outlookiem środowisko, pozwalające pracować w sposób, bez którego pracownicy największych firm na świecie nie wyobrażają sobie realizacji swoich codziennych zadań. Nie bez powodu porównuje…
Czytaj dalej »
Hack SolarWinds to z pewnością jeden z najgłośniejszych i najbardziej zaawansowanych ataków na przestrzeni ostatnich lat. Nie jest to też temat, który szybko ucichnie, bo co jakiś czas wypływają nowe informacje na podstawie dochodzeń prowadzonych w poszkodowanych podmiotach, a cała sprawa jest dość skomplikowana. Tym razem Microsoft opublikował dodatkowe informacje…
Czytaj dalej »
Zerknijcie na ten opis: Windows TCP/IP Remote Code Execution Vulnerability (CVE-2021-24074) z dopiskiem – Exploitation More Likely Idąc dalej – podatności tej grupy mamy tak naprawdę aż trzy: Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086 (dwie to Remote Code Execution, nie wymagające uwierzytelnienia, jedna podatność to DoS). Microsoft…
Czytaj dalej »
Microsoft już jakiś czas temu pisał o incydencie związanym ze słynnym hackiem Solarwinds. Czytaliśmy wtedy: We have not found evidence of access to production services or customer data. Our investigations, which are ongoing, have found absolutely no indications that our systems were used to attack others. Mimo, że powyższa informacja…
Czytaj dalej »
Zacznijmy od końca – nie ma obecnie żadnych dowodów na to żeby aktualizacje Windows (czy innych produktów Microsoftu) były zanieczyszczone dodatkowym kodem. Gdyby tak się stało, byłby to chyba największy hack ever. Niemniej jednak Microsoft potwierdza hack, jednocześnie wskazując podjęte środki zaradcze: Like other SolarWinds customers, we have been actively…
Czytaj dalej »
Co dopiero pisaliśmy o ataku na amerykański Departament Skarbu, a tymczasem pokazało się więcej informacji o samym incydencie, które dodatkowo wskazują na o wiele większą kampanię: The victims have included government, consulting, technology, telecom and extractive entities in North America, Europe, Asia and the Middle East. Cały czas mowa jest…
Czytaj dalej »
Opis niedawno załatanej podatności macie tutaj. W skrócie – można było wysłać odpowiednio spreparowaną wiadomość, a samo zobaczenie wiadomości (bez klikania) powodowało wykonanie kodu w systemie operacyjnym u ofiary. Podatne były desktopowe wersje Teamsów na wszystkie platformy (Windows, Linux, Mac), a cała podatność sprowadzała się do: persistent XSSa (przez sprytne…
Czytaj dalej »
Teraz kiedy puścimy jakieś śmieci na produkcję, będzie można powiedzieć – „dołączyliśmy do najlepszych” ;-) Najpierw mBank, teraz Microsoft: Doniesienia o testowych komunikatach w różnej liczbie, pojawiają się w zasadzie z całego świata, również z Polski. Microsoft na razie nie wie o co chodzi: Niektórzy sugerują, że może być to hack…
Czytaj dalej »
Ciekawe znalezisko, którym @Ma7h1as podzielił się na Twitterze. Zerknijmy sobie na pewien stary biuletyn bezpieczeństwa Microsoftu (MS15-022) w anglojęzycznej wersji strony: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-022 Wśród naprawionych błędów znajduje się seria XSS-ów w SharePoincie. Jako możliwość zabezpieczenia przed podatnością, MS sugeruje, by uważać na konta zawierające kod HTML (rys 1). Co ciekawe, gdy wejdziemy…
Czytaj dalej »
Zacznijmy od ciekawego spostrzeżenia, na które wskazuje Microsoft w opisie swojego projektu. Druga Wojna Światowa. Gdzie bardziej zabezpieczać samoloty? Tam gdzie wykryto najwięcej śladów po kulach, prawda? No więc niekoniecznie. Ślady po kulach liczone były po powrocie samolotów do bazy. Czyli… nie było tam informacji o samolotach, które zostały strącone….
Czytaj dalej »
Microsoft załatał właśnie 25 krytycznych podatności; gdzie pojawiła się ponoć informacja o takim bugu: CVE-2020-0796 is a remote code execution vulnerability in Microsoft Server Message Block 3.0 (SMBv3). An attacker could exploit this bug by sending a specially crafted packet to the target SMBv3 server, which the victim needs to be connected…
Czytaj dalej »
Kolejna ciekawostka w ramach serii #vulnz. Tym razem mamy do czynienia z błędem umożliwiającym zdalne wykonywanie poleceń systemowych na serwerze Exchange. Dokładniej – RCE mamy w Exchange Control Panel, wymagane jest dowolne konto usera. Mało zabawne jest to, że atakujący po wykonaniu ataku otrzymuje od razu uprawnienia SYSTEM na serwerze. Microsoft…
Czytaj dalej »