„Wyjątkowo przerażająca luka” związana jest ze sposobem w jaki Windows CprytoAPI (Crypt32.dll) weryfikuje certyfikaty Elliptic Curve Cryptography (ECC). Pomyślny exploit buga, pozwala cyberprzestępcy przeprowadzić atak typu man-in-the-middle i odszyfrować wszelkie wrażliwe informacje znajdujące się na komputerze ofiary. Metodę działania exploitu wyjaśnia Microsoft.

„Osoba atakująca może wykorzystać tę lukę, używając sfałszowanego certyfikatu podpisu kodu, w celu podpisania złośliwego pliku wykonywalnego, sprawiając wrażenie, że plik pochodzi z zaufanego, wiarygodnego źródła. Użytkownik nie ma możliwości wiedzieć, że plik jest złośliwy, ponieważ podpis cyfrowy wydaje się pochodzić od zaufanego dostawcy”, czytamy.

Podatność ma status „istotnej”, ale Microsoft nie informuje o jakichkolwiek atakach przeprowadzonych za jej pomocą.

Jeśli korzystacie z systemu Windows, koniecznie sprawdźcie Windows Update w poszukiwaniu poprawek zbiorczych za ten miesiąc (o ile te nie zainstalowały się już u Was automatycznie).

Źródło: Microsoft, Instalki.pl

Jeden z inżynierów z Microsoft Security Response Center, Matt Miller, podzielił się statystykami na temat ataków na Windowsa 10 korzystających z exploitów zero-day. Te w większości przypadków okazują się nieskuteczne przeciwko najnowszej wersji systemu Windows.

Według opublikowanych dziś statystyk zaledwie 38% wszystkich luk tego typu zostało pomyślnie wykorzystanych przeciwko najnowszym wersjom systemu Windows od 2015 do 2019 roku. Oznacza to, że ponad 2/3 ataków działa tylko przeciwko starszym, niż aktualna w danym momencie wersja Windowsa.

Zgodnie ze słowami Millera, wszystko to powoduje, że większość ataków przy wykorzystaniu wrażliwości typu zero-day kierowanych jest przeciwko użytkownikom systemu Windows korzystającym z nieaktualnego oprogramowania. Co ciekawe, aż 70% spośród wszystkich bugów systemowych związanych z bezpieczeństwem, które wykryto w ciągu ostatnich 12 lat, dotyczyło zarządzania pamięcią.

Czy powyższe dane stanowią zaskoczenie? Wydaje nam się, że odpowiedź jest przecząca dla pokaźnej grupy osób mających świadomość tego, że instalowanie aktualizacji systemowych na bieżąco jest jedyną skuteczną metodą na to, by skutecznie bronić się przed licznymi lukami w oprogramowaniu. Istnieje jednak spora grupa osób, które aktualizacje opóźniają, a nawet wyłączają. Czy warto to robić w obliczu licznych zagrożeń?

Cóż, nie zapominamy, że Microsoft znany jest z różnorakich wpadek związanych z niedociągnięciami w wydawanych aktualizacjach dla Windowsa 10. Wybór pomiędzy szybkim instalowaniem aktualizacji, a opóźnianiem ich w celu uniknięcia pełnienia roli królika doświadczalnego z pewnością nie jest łatwym wyborem.

Źródło: ZDnet, Instalki.pl

Jak bowiem odkrył badacz bezpieczeństwa John Page, Internet Explorer zawiera poważną lukę w zabezpieczeniach. Każdy użytkownik z zainstalowaną przeglądarką od Microsoftu jest narażony na działanie exploita, niezależnie od tego czy z niej korzysta. Gigant z Redmond został podobno poinformowany o problemie przez Page’a ponad miesiąc temu, ale firma miała odpowiedzieć, że:

„poprawka dotycząca tego problemu zostanie uwzględniona w przyszłej wersji tego produktu„.

W odpowiedzi mężczyzna umieścił w sieci wideo przedstawiające działanie exploita:

Cała sztuka opiera się na tym, że IE jest domyślnym programem do otwierania plików w formacie .MHT (którego inne przeglądarki nie obsługują). Cyberprzestępcy mogą zatem wykorzystać lukę w zabezpieczeniach i wysłać użytkownikowi e-mailem (albo udostępnić do pobrania na stronie etc.) złośliwy plik o rozszerzeniu .MHT z wbudowanym exploitem, który umożliwi hakerowi uzyskanie dostępu do lokalnych plików i informacji o programach swojej ofiary.

Jak donosi Page, błąd został przetestowany w Internet Explorer 11 na Windowsie 7, Windowsie 10 i Windows Server 2012 R2.

Wygląda na to, że powinniśmy brać na poważnie prośby Microsoftu o porzucenie Internet Explorer i przesiadać się na inne programy takie jak Edge, Chrome czy Opera. Mało tego; Gigant nie powinien w ogóle „dorzucać” jej do swojego najnowszego systemu operacyjnego zwłaszcza, że i tak w pakiecie otrzymujemy przeglądarkę Microsoft Edge.

Źródło: ZDNet

Co ciekawe, luka którą wykorzystał haker została już wcześniej rzekomo załatana w listopadzie zeszłego roku (CVE-2016-7200 oraz CVE-2016-7201). Okazuje się jednak, iż łatkę wykonano bardzo niestarannie, bowiem Unknownv2 tak zmodyfikował stary exploit, iż był w stanie dalej włamać się do Edge.

Sytuacja jest o tyle ciekawa, iż obecna luka nie jest wystarczająca, aby uzyskać dostęp do kluczowych elementów Xbox One takich jak procesy sieciowe czy też system odpowiedzialny za uruchamianie gier i aplikacji. Jest to jednak wyłom, który może posłużyć w przyszłości do prac nad „frontalnym atakiem” skierowanym przeciwko Xbox One. Choć sama konsola jest świetnie zabezpieczona, to jednak Microsoft nie powinien lekceważyć kolejnych sukcesów hakerów.

Źródło: Max Console, Instalki

W tym czasie Microsoft wyjaśnił, że luka (znana, jako CVE-2016-0034) może umożliwić hakerom infekcję zagrożonych komputerów PC i Mac bez konieczności interakcji z użytkownikiem.

Jedyne, co musi zrobić użytkownik, to odwiedzić stronę internetową, która zawiera pułapkę w aplikacji Silverlight. Intruz nie może w żaden sposób zmusić użytkownika do odwiedzenia niebezpiecznej witryny. Może natomiast przekonać ich do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub w wiadomości błyskawicznej na portalu społecznościowym, która przekierowuje użytkowników do witryny osoby atakującej. Jeśli użytkownik jest zalogowany z uprawnieniami administracyjnymi, osoba atakująca może uzyskać pełną kontrolę nad systemem, którego dotyczy luka.

Angler Exploit Kit jest jednym z najczęściej wykorzystywanych przez cyberprzestępców zestawem do atakowania użytkowników. Po raz pierwszy został wykryty w 2013 roku, do tej pory zainfekował około 90 tysięcy stron internetowych, a w ciągu miesiąca odwiedza je nawet 11 milionów osób. Te liczby zmuszają duże firmy, takie jak Oracle i Adobe, do aktualizowania oprogramowania Java i Flash oraz tworzenia do nich łatek bezpieczeństwa.

Za każdym razem, gdy instalujemy na komputerze oprogramowanie firm trzecich, zwiększamy potencjalnie ryzyko ataku, poprzez luki, jakie może posiadać instalowanie oprogramowanie. Jeśli chcemy uruchomić oprogramowanie Microsoft Silverlight musimy upewnić się, że jest on aktualizowany na bieżąco. Jeżeli wyłączyliśmy automatyczną aktualizację warto zastanowić się nad jej włączeniem. Najnowszą wersję wtyczki Silverlight można pobrać z tutaj.

Źródło: Instalki

Cyberprzestępcy często wykorzystują fałszywe alerty wirusowe, aby namówić użytkowników do kupowania fałszywego oprogramowania antywirusowego. (…)W przypadku fałszywych aktualizacji Java, napastnicy korzystają z newsów na temat luk w zabezpieczeniach w Javie i wysyłają zalecenia, dotyczące natychmiastowej aktualizacji Javy.

Microsoft podpowiada, że poprawnej aktualizacji oprogramowania Java na komputerze można dokonać jedynie na stronie internetowej Oracle. Pozostaje jeszcze radykalna alternatywa: wyłączenie obsługi Javy w przeglądarce internetowej lub odinstalowanie oprogramowania Java na komputerze.

Źródło: Neowin

W poście dodano, że osoby, które wybrały ręczną aktualizację, powinny pobrać nową łatkę „tak szybko jak to możliwe.” Zgodnie z zapewnieniami wydawcy, IE9 oraz IE10 są wolne od problemów.

Źródło: Neowin

Exodus prezentuje szczegółową analizę luki oraz wcześniejsze metody ataku. Podobno problem został spowodowany przez ponowne wykorzystanie dealokowanych obszarów pamięci. Luka była już wykorzystana na zainfekowanych stronach, które powodowały umieszczenie złośliwego kodu w komputerach odwiedzających.

Źródło: H-Online

Patch do wykorzystanych luk na razie nie zostanie udostępniony klientom. Francuzi odkryli luki samodzielnie i nie planują ujawnić szczegółów firmie Microsoft. Vupen zamierza zaoferować exploit swoim klientów, wśród których są m.in. dochodzeniowe organy rządowe. Trzeba przyznać, niezła forma szantażu i motywacja dla Microsoft, który powinien jak najszybciej zdiagnozować i zamknąć luki.

Źródło: Heise

W poradniku zabezpieczeń, firma Microsoft zaleca użytkownikom zastosowanie rozwiązania „Fix it” do momentu wydania łatki naprawiającej lukę. Zazwyczaj przygotowanie explota trwa nieco dłużej, jednak tym razem twórcom exploita udało się przechytrzyć Microsoft. Firma z Redmond zauważa, że jest już „świadoma aktywnych ataków” z wykorzystaniem tej luki.

Źródło: Heise

Dwa z tych biuletynów zamykają krytyczne luki we wszystkich obsługiwanych wersjach systemu Windows (od XP SP3, w tym Windows Server). Zgodnie z zapowiedziami, Microsoft zabrał się także za luki w zabezpieczeniach pakietu Office, Silverlight i NET Framework. Błędy w oprogramowaniu mogą zostać wykorzystane do zdalnego umieszczenia złośliwego kodu – na przykład za pośrednictwem specjalnie przygotowanej strony www. Microsoft planuje również zamknąć luki umożliwiające zwiększenie uprawnień we wszystkich wersjach systemu Windows począwszy od Windows Vista.

Tak jak poprzednio, uczestnicy programu Microsoft Active Protections Program (MAPP) otrzymają poufne informacje na temat luk i narzędzi testowych (dot. exploitów) z wyprzedzeniem. Tym razem jednak Microsoft zamierza zachować więcej ostrożności podczas wydawania informacji dla członków programu. „Przeprowadzamy wzmocnione kontrole i podejmujemy działania, aby lepiej chronić nasze informacje”, poinformował na swoim blogu zespół ds. bezpieczeństwa Microsoft.

W marcu jeden z członków programu opublikował exploit opracowany dla MAPP przez Microsoft. Stało się to zaledwie kilka dni po Patch Tuesday. Exploit umożliwiał dokonanie zdalnego zawieszenia komputerów z systemem Windows, które miały włączony serwer RDP (Remote Desktop Connection). Źródłem przecieku okazała się chińska firma zajmująca się bezpieczeństwem sieci, DPTech. Microsoft nie poinformował, czy firma opublikowała informację celowo. W związku z zajściem, DPTech został wyłączony z MAPP.

Źródło: Neowin

Sophos Windows Shortcut Exploit Protection Tool zapewnia ochronę przed groźną dziurą we wszystkich wersjach systemu Windows. Exploit, znany także pod nazwą CPLINK, umożliwia skrótom (plikom .lnk) uruchomienie na komputerze złośliwego oprogramowania – bez jakiejkolwiek interakcji z użytkownikiem. Darmowe narzędzie Sophos, dostępne do pobrania ze strony http://www.sophos.com/shortcut, przechwytuje pliki skrótów zawierające exploit, ostrzegając przed wykonywalnym kodem. Oznacza to koniec zagrożeń ze strony złośliwego kodu, wykorzystującego lukę .lnk.

„Jak dotąd widzieliśmy robaki Stuxnet i Dulkis, a także trojana Chymin usprawniającego rozprzestrzenianie i infekowanie komputerów. Stuxnet trafił na nagłówki, ponieważ jest wycelowany w systemy Siemens SCADA, które sterują krytyczną infrastrukturą krajową, taką jak elektrownie. Należy jednak pamiętać, że zagrożeni rootkitem są wszyscy użytkownicy,” powiedział Graham Cluley, starszy konsultant ds. technologii w Sophos. „Szczegóły o tym, jak wykorzystać tę lukę bezpieczeństwa są dostępne w sieci, a to oznacza, że hakerzy bez najmniejszych trudności mogą ją wykorzystać do kolejnych ataków.”

Poniżej film prezentujący w jaki sposób darmowe narzędzie Sophos przechwytuje atak:

Źródło: Sophos