Президент РФ посетил завод компьютерной техники Kraftway
От
Евгений Малинин
в Новости и события со всего мира
-
Похожий контент
-
-
От KL FC Bot
Все приложения, включая ОС, содержат уязвимости, поэтому регулярные обновления для их устранения — один из ключевых принципов кибербезопасности. Именно на механизм обновлений нацелились авторы атаки Windows Downdate, поставив себе задачу незаметно «откатить» актуальную версию Windows до старой, содержащей уязвимые версии служб и файлов. После выполнения этой атаки полностью обновленная система оказывается вновь уязвимой к старым и хорошо изученным эксплойтам и ее можно легко скомпрометировать до самого глубокого уровня, реализовав даже компрометацию гипервизора и безопасного ядра и кражу учетных данных. При этом обычные инструменты проверки обновлений и «здоровья» системы будут рапортовать, что все полностью актуально и обновлять нечего.
Механика атаки
Исследователи фактически нашли два разных дефекта с немного различным механизмом работы. Одна уязвимость, получившая идентификатор CVE-2024-21302 и чаще называемая Downdate, основана на недочете в процессе установки обновлений. Хотя компоненты, получаемые во время обновления, контролируются, защищены от модификаций, подписаны цифровой подписью, на одном из промежуточных этапов установки (между перезагрузками) процедура обновления создает, а затем применяет файл со списком планируемых действий (pending.xml). Если создать этот файл самостоятельно и занести информацию о нем в реестр, то доверенный установщик (Windows Modules Installer service, TrustedInstaller) выполнит инструкции из него при перезагрузке.
Вообще-то, содержимое pending.xml верифицируется, но на предыдущих этапах установки, TrustedInstaller не делает проверку заново. Прописать в него что попало и установить таким образом произвольные файлы не получится, они должны быть подписаны Microsoft, но вот заменить системные файлы более старыми файлами самой Microsoft вполне можно. Таким образом, система может быть вновь подвержена давно исправленным уязвимостям, включая критические. Чтобы добавить в реестр необходимые ключи, касающиеся pending.xml, требуются права администратора, а затем еще потребуется инициировать перезагрузку системы. Но это единственное весомое ограничение для проведения атаки. Повышенные права (при которых Windows запрашивает у администратора дополнительное разрешение на затемненном экране) для атаки не требуются, для большинства средств защиты выполняемые атакой действия также не входят в разряд подозрительных.
Второй дефект, CVE-2024-38202, основан на подмене содержимого папки Windows.old, в которой система обновления хранит старую версию Windows. Хотя файлы в этой папке невозможно модифицировать без специальных привилегий, обычный пользователь может переименовать папку целиком, создать Windows.old заново и положить в нее нужные ему файлы, например устаревшие опасные версии системных файлов Windows. Затем нужно инициировать восстановление системы — и откат Windows к уязвимой версии состоится. Для восстановления системы нужны определенные права, но это не права администратора, ими иногда обладают и обычные пользователи.
View the full article
-
От KL FC Bot
Недавно вышедшие отчеты экспертов «Лаборатории Касперского», посвященные статистике сервиса мониторинга и реагирования (MDR) и сервиса реагирования на инциденты (IR) за 2023 год, показывают, что в большинстве наблюдавшихся кибератак применяется всего несколько техник, повторяемых из раза в раз. Они встречаются как в атаках, доведенных до конца и приведших к ущербу, так и в инцидентах, остановленных на ранних стадиях. Мы решили перечислить эти техники, опираясь на классификацию ATT&CK, и обобщить рекомендации экспертов по их нейтрализации. С частотой применения каждой техники и конкретными примерами можно ознакомиться в самих отчетах.
Эксплуатация публично доступных приложений
Техника ATT&CK: T1190, тактика ТА0001 (первоначальный доступ)
Что это: использование уязвимостей в одном из приложений организации, доступных через Интернет. Наиболее популярны атаки на веб-серверы, серверы Exchange и баз данных, а также на точки подключения VPN. Также злоумышленники активно ищут и эксплуатируют находящиеся в открытом доступе панели управления IT-инфраструктурой — от серверов SSH до SNMP.
Как защититься: отдавайте приоритет обновлению ПО на периметре сети, а также используйте дополнительные меры защиты для сервисов на периметре. Закрывайте порты управления от доступа извне. Регулярно сканируйте внешний периметр в поисках уязвимостей и просто приложений, внешний доступ к которым предоставлен случайно и должен быть отозван. Устанавливайте агенты EDR и средства защиты, в том числе на серверы приложений.
Посмотреть статью полностью
-
От KL FC Bot
Интеллектуальные функции и связь с Интернетом встроены в большинство телевизоров, видеонянь и многие другие приборы. Даже если вы не пользуетесь этими смарт-функциями, умная техника создает риски безопасности, о которых надо знать и в отношении которых надо принимать меры защиты. Ну а если вы решили активней пользоваться умным домом, то защищать его компоненты становится еще важнее. Планированию умного дома мы посвятили отдельную статью, поэтому сосредоточимся на вопросах безопасности.
Основные риски умного дома
Подключенные к сети бытовые устройства создают несколько принципиально разных видов рисков:
Устройство регулярно отправляет производителю очень много данных. Например, смарт-ТВ умеют определять, что вы смотрите, даже если это контент с флешки или внешнего плеера. Производители зарабатывают большие деньги на том, чтобы шпионить за покупателями. Информацию собирают и отправляют даже более простые устройства вроде стиральных машин. Если умное устройство защищено слабым паролем, имеет заводские настройки, которые никто не менял, или содержит уязвимости в системе управления, хакеры могут получить контроль над ним. Последствия различаются для разных устройств. Стиральную машину можно хулигански выключить в середине стирки, а вот с помощью видеоняни уже можно шпионить за обитателями дома и даже их пугать. Для полноценного умного дома возможны совсем неприятные сценарии с отключением света и отопления. Если умное устройство взломали, злоумышленники могут установить на него вредоносный код и запускать с него кибератаки как на компьютеры в доме, так и на устройства в большом Интернете. Известны мощные DDoS-атаки, проводившиеся целиком с зараженных видеокамер. Для владельца зараженного гаджета это чревато замедлением домашнего Интернета и попаданием в различные черные списки. Если производитель недостаточно защищает данные, передаваемые с устройства, они могут быть найдены и опубликованы. Иногда записи с видеокамер и видеоглазков хранятся в слабо защищенных облачных средах, заходи и смотри кто хочешь. К счастью, все эти ужасы совсем не обязаны случаться с вами, а риски можно значительно снизить.
View the full article
-
От mike 1
Видеозапись вебинара:
Ransomware постоянно совершенствуется, ищет новые способы блокировки ваших данных и за счет этого становится чуть ли не самым распространённым видом вредоносного ПО. Но эксперты «Лаборатории Касперского» знают, как бороться с атаками шифровальщиков!
В этом видео эксперты Лаборатории Касперского расскажут про восемь наиболее известных группировок вымогателей, стадии атак и их инструменты:
1. Расскажем о тактиках, техниках и процедурах (ТТРs), которыми владеют крупные банды вымогателей.
2. Проведем обзор современного ландшафта программ-вымогателей.
3. Покажем сравнительный анализ групп программ-вымогателей.
4. Представим Сyber Kill Chain и ответим на самые интересные и актуальные вопросы.
Подробнее о решении Kaspersky Threat Intelligence можно узнать по этой ссылке
Скачать полную версию аналитического отчета на русском языке.
Таймкоды:
00:00:00 – Приветствие
00:00:50 – Почему мы снова говорим о шифровальщиках
00:03:10 – Общая информация по шифровальщикам
00:04:30 – Три мифа о шифровальщиках
00:06:10 – Экосистема «вымогательского» бизнеса
00:09:00 – График появления новых группировок Ransomware
00:09:30 – Восемь наиболее активных групп Ransomware
00:10:50 – Cyber Kill Chain
00:14:00 – Модель F2T2EA
00:15:20 – Intelligence Driven Defense
00:18:00 – MITRE ATT&CK
00:20:10 – Common TTPs
00:27:00 – Жертвы вымогателей
00:29:50 – Техники вымогателей
00:32:00 – Митигация
00:37:00 – Правила SIGMA
00:37:40 – Лучшая защита от шифровальщиков
00:41:40 – Ключевые элементы защиты
00:44:30 – Ответы на вопросы
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти