»

Okenska ranljivost PrintNightmare še vedno straši

bleepingcomputer.com - Po tem, ko so iz Microsofta v torek poslali prve popravke za ranljivost PrintNightmare (CVE-2021-34527), so varnostni strokovnjaki ugotovili, da jo je mogoče v določenih primerih še vedno zlorabiti in prevzeti nadzor nad sistemom.

V začetku junija so pri Microsoftu z rednimi obliži pokrpali ranljivost CVE-2021-1675. Luknja je zevala v okenskem organizatorju tiskanja (print spooler) in je napadalcem omogočala pridobitev administratorskih privilegijev. Toda nato je prišlo do komedije zmešnjav: teden dni kasneje sta raziskovalca Zhiniang Peng in Xuefeng Li ugotovila, da je mogoče ranljivost izkoristiti tudi za izvajanje kode na daljavo. Ker sta menila, da je težava že odpravljena, sta koncept zlorabe javno objavila, nakar se je izkazalo, da sta v resnici naletela na povsem novo, ločeno ranljivost - CVE-2021-34527, ki sta jo poimenovala PrintNightmare. Ta zlikovcem na daljavo omogoča vdor v krmilnik domen (domain controller), če je ciljni računalnik povezan v internet in daje na...

7 komentarjev

Ranljivost v Exchangeu se aktivno izkorišča, tarč več deset tisoč

Slo-Tech - Microsoft je ob nedavno odkriti in zakrpani ranljivosti v več verzijah Exchange Severja opozoril, da več hekerskih skupin luknjo že izkorišča. Brian Krebs je potrdil, da je žrtev samo v ZDA vsaj 30.000. Napadi so se še okrepili.

Potem ko je Microsoft 2. marca izdal izredne varnostne popravke, kar se zgodi redko, je kitajska hekerska skupina Hafnium še povečala pogostost napadov na to ranljivost, ugotavlja Krebs. Na ta način si želijo zagotoviti prisotnost v sistemih, saj tudi po zakrpanju luknje sistemi ostanejo ranljivi, če so jih hekerji predhodno kompromitrali in vanje naložili zlonamerno programsko opremo. Zato Microsoft in tudi naš SI-CERT svetujejo, da po namestitvi popravkov temeljito preverimo (obstaja več orodij), ali je bil sistem že pred tem napaden (simptomi) - in ga v takih primerih ustrezno očistimo.

Napadi pa trajajo že vsaj dva meseca. V podjetju Volexity, ki so prvi opazili ranljivosti in nanjo opozorili tudi Microsoft, so dejali, da so prve napade zaznali že 6....

6 komentarjev

Zaradi ranljivosti v Exchange Serverju Microsoft izdal izredne popravke

Slo-Tech - Microsoft je teden dni pred rednim mesečnim paketom popravkov izdal izredne popravke za Exchange Server, ki odpravljajo štiri resne ranljivosti, ki jih zlonamerni hekerji iz tujine že izkoriščajo. Izredna izdaja popravkov je redek pojav, ki vsakokrat priča o resnosti ranljivosti, ki terja takojšen odziv. To pot so prizadeti Microsoft Exchange Server 2013, 2016 in 2019, v katerih tičijo ranljivosti CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.

Omenjene ranljivosti izkorišča več hekerskih skupin, med katerimi Microsoft izpostavlja Hafnium, ki delujejo iz Kitajske in so domnevno specializirani za krajo podatkov ameriških podjetij, raziskovalnih inštitucij, nevladnih organizacij in državnih agencij. Microsoft pravi, da ima Hafnium najete virtualne strežnike v ZDA, s katerih napadajo. Vdori naj bi potekali že dlje časa, a ker so doslej kradli v glavnem elektronsko pošto, dlje časa ni nihče opazil, kaj se dogaja. Šele nedavno so začeli bolj rovariti po kompromitiranih...

2 komentarja

Odklenjeni iPhoni do iOS 14.3

Slo-Tech - Vesti o novih odklepih (jailbreak) iPhonov so čedalje redkejše, a tuintam se hekerjem posreči. Skupina Unc0ver je minuli konec tedna objavila jailbreak, ki deluje na verzijah iOS od 11 do 14.3, torej do predzadnje, ki je izšla decembra lani. Za odklep izkoriščajo ranljivost CVE-2021-1782, ki jo je Apple zakrpal v verziji iOS 14.4. Nazadnje smo o jailbreaku pisali maja lani, ko so zlomili iOS od 11 do 13.5. Tedaj je Apple odreagiral v nekaj dneh, tokrat pa to niti ne bo treba, ker je v novi verziji ranljivost že odpravljena.

To pot so uporabniki Applovih naprav še posebej v dilemi, kaj storiti. Nadgradnja na novejšo verzijo onemogoči jailbreak, a po drugi strani je konkretna ranljivost ena redkih, za katere je Apple priznal, da se je ob izdaji popravka že aktivno zlorabljala. Priporočilo proizvajalca in tudi varnostnih strokovnjakov je seveda jasno: jailbreakov raje ne nameščajmo, saj gre za nepooblaščene posege globoko v operacijski sistem, ki odprejo tudi druge vektorje napada. A...

3 komentarji

V Microsoftovem antivirusu ranljivost tičala 12 let

Slo-Tech - V Microsoftovem protivirusnem programu, ki ga vsebuje Windows, so zakrpali 12 let staro ranljivost, za katero do nedavna niso vedeli ne proizvajalec ne napadalci. V Microsoft Defenderju (včasih se je imenoval Windows Defender) je vsaj od leta 2009 tičala ranljivost (CVE-2021-24092), ki je omogočala napad z eskalacijo privilegijev. Prizadete so verzije Windows 7 in novejše ter programska oprema, ki uporablja iste klice: Microsoft Endpoint Protection, Microsoft Security Essentials, in Microsoft System Center Endpoint Protection.

O ranljivosti so prvi poročali na SentinelOne novembra lani, v februarskem paketu popravkov pa je Microsoft pripravil rešitev. Težava je tičala v gonilniku BTR.sys (Boot Time Removal Tool), ki se uporablja pri brisanju okuženih datotek. Predvidevajo, da je ostala tako dolgo neodkrita, ker ta gonilnik ni ves čas aktiven, temveč se namesti in aktivira le, ko je potreben, potem pa se odstrani. Težava je, da gonilnik ne preveri datotek, ki jih kot obnovljene...

20 komentarjev

Google odkril ranljivost v Windows in jo (pre)hitro pokazal

Slo-Tech - Google je pred tednom dni sporočil, da je v Windows odkril ranljivost (CVE-2020-17087), ki jo hekerji že aktivno izkoriščajo, zato je Microsoftu dal na razpolago le sedem dni za zakrpanje. Microsoft tako kratkega roka ni izpolnil, zato je Google v v petek zvečer razkril podrobnosti ranljivosti. Ta je nezakrpana (0-day), aktivno napadana in sedaj povsem razkrita. Microsoft bo popravek izdal ob naslednji priložnosti, to je drugi torek v mesecu (10. novembra) na tako imenovani Patch Tuesday.

Googlov Project Zero je namenjen iskanju ranljivosti v najrazličnejši programski opremi več proizvajalcev. O odkritih ranljivostih obvestijo proizvajalca, ki ima potem 90 dni časa, da izda popravek. Google po izdaji popravka ali najpozneje v 90 dneh javnosti razkrije podrobnosti ranljivosti, s čimer se poskrbi, da imajo proizvajalci motivacijo v doglednem času izdelati popravek. Roki pa se spremenijo, ko je ranljivost že aktivno zlorabljena. V tem primeru Google počaka le sedem dni, kar v...

22 komentarjev

Nove ranljivosti v Intelovih procesorjih

Intel - V Intelovih procesorjih so odkrili štiri vrste ranljivost, ki sodijo v razred Meltdownu in Spectru podobnih ranljivosti. Nove ranljivosti, ki so jih poimenovali Zombieload, prav tako izkoriščajo špekulativno izvajanje ukazov. Gre za tehniko povečevanja zmogljivosti procesorjev, tako da ti ob prostih stopnjah v cevovodu začno izvajati dele kode, za katero sploh še ni jasno, ali in s kakšnimi vhodnimi vrednostmi se sploh mora izvesti. Če se kasneje izkaže, da je v kakšni razvejitvi treba ubrati drugo pot, se predhodni izračun pač zavržejo, s čimer načeloma ni nič narobe. Težava pa je, da lahko zaradi tega pride do sprememb v registrih, predpomnilnikih ali kod drugod, kar načeloma lahko opazujemo. Rezultat je uhajanje podatkov do...

40 komentarjev

Odkrita nova Flash ranljivost

Slashdot - Kot poročajo Slashdot in številni drugi mediji, so v Adobe Flash predvajalniku odkrili varnostno ranljivost, ki jo zlonamerni napadalci izkoriščajo v velikem obsegu. Zloraba (exploit) naj bi bila že vključena v kitajsko različico zbirke napadalskih orodij MPack exploit kit, zlonamerna koda pa je okužila že preko 20.000 spletnih strani.

Ob obisku okužene strani zlonamerna koda izrabi ranljivost predvajalnika Flash in prevzame popoln nadzor nad računalnikom.

Analiza Marka Dowda je pokazala, da gre za izkoriščanje ranljivosti CVE-2007-0071 v Flash predvajalniku 9.0.124.0, zato je priporočena čimprejšnja nadgradnja oz. posodobitev vašega predvajalnika.

5 komentarjev