Microsoft upozorava na 0-day ranjivost

Kompanija Microsoft upozorava korisnike Windows operativnog sistema da se aktivno koriste dvije kritične ranjivosti nultog dana za napad. Pogođeni sistemi su Windows 10, Windows 8.1, Windows 7 (za koji je ukinuta podrška), kao i serverske sisteme Server 2008, 2012, 2016 i 2019. Ranjivosti mogu omogućiti napadačima potpunu daljinsku kontrolu nad napadnutim uređajima. Vezano za ovaj slučaj, oglasio se i CERT RS upozoravajući korisnike na opasnost.

Ranjivosti sistema su locirane u biblioteci Adobe Type Manager Library (atmfd.dll) koja dolazi u sklopu Windows operativnog sistema. Ova biblioteka omogućava aplikacijama upravljanje i prikazivanje fontova, uz to analizira sadržaj drugih proizvođača, a korist i Windows Explorer za prikazivanje sadržaja dokumenta u Preview Pane i Details Pane.

Iz kompanije Microsoft kažu da postoji mnogo načina da napadači iskoriste ove ranjivosti. Od toga da korisnici otvore posebno pripremljen dokument, do one zabrinjavajuće da ga “samo pogledaju” bez otvaranja preko prozora za brzi pregled (Windows Preview) u Windows Explorer-u. Otvaranjem ili pogledom na dokument pokreće se daljinsko izvršavanje kôda (remote code execution – RCE) koje dalje omogućava napadaču da preuzme kontrolu nad uređajem.

U kompaniji Microsoft rade na rješavanju ovog problema, ali se ne očekuje da će sigurnosno ažuriranje stići prije 14. aprila. Pošto su u kompaniji Microsoft svjesni da se ovo tehničko pitanje ne može riješiti odmah, a aktivno se koristi za napad ponudili su nekoliko podešavanja kako bi se korisnici u  međuvremenu zaštitili.

KAKO SE ZAŠTITI:

1. Onemogućiti Preview Pane i Details Pane u Windows Explorer-u. Detaljnije ovdje.

2. Onemogućiti WebClient servis. Detaljnije ovdje.

3. Preimenovati ATMFD.DLL fajl. Detaljnije ovdje.

4. Respektivno preuzeti sigurnosno ažuriranje za Windows operativni sistem kada bude dostupno.

5. Uvijek biti oprezan sa dokumentima, linkovima, slikama i video materijalima u prilogu elektronske pošte, socijalnih mreža od nepoznatih pošiljalaca. Ako ste nešto dobili poznatog pošiljaoca, a nije očekivano kontaktirati pošiljaoca i provjeriti da li je on poslao ili mu je možda uređaj možda kompromitovan.

6. Koristiti provjereno Anti-virusno rješenje sa mogućnošću detekcije na osnovu ponašanja za efikasnu zaštitu od poznatih i nepoznatih prijetnji.

7. Redovno ažurirati operativni sistem i prateći softver.

INFEKCIJA UREĐAJA:

Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i respektivno ugasite uređaj. Nakon toga kontaktirajte servis i informišite se o narednom koraku.

Sajber napad preko COVID-19 virusa

Sjaber kriminalci besramno koriste nastalu situaciju sa COVID-19 virusom za napad na privatne i poslovne korisnike. CERT RS je objavio upozorenje svim korisnicima sajber prostora na kampanje napada na korisnike sa temom korona virusa. Poznati vektori napada za sada na korisnike su:

- Phishing (pecanje)  - Android aplikacije  - Lažne domene

Phishing (pecanje) je vrsta napada u kojoj sajber kriminalci šalju posebnu zlonamjernu elektronsku poštu ili druge vrste poruka tako da izgleda da je poslata od strane nekoga u koga možete imati povjerenje. Cilj ovog vektora napada je pokušaj ulazaka u sistem korisnika i preuzimanje vrijednih informacija i širenje infekcije na druge uređaje. U našem slučaju sa  COVID-19 virusom teme su seminari, preporuke za prevenciju i liječenje i sl. Tako da možete dobiti poruke od Svjetske zdravstvene organizacije, Ujedinjenih nacija, Monetarnog fonda, ali i lokalnih institucija. Poruke mogu sadržavati linkove, video materijal, razne vrste dokumenata (Word, Excel, PDF i slično). Svemu navedenom je zajedničko da su to posebno pripremljeni elementi za napad na vaš uređaj. Ako niste dovoljno obazrivi, jedan ili dva klika su dovoljna da napadač dobije pristup vašem uređaju.

Aplikacije za praćenje korona virusa su popularne ovih dana, pa su sajber kriminalci koriste ovu situaciju za napad na korisnike. Kompanija Google u svojoj prodavnici koristi Google Play Protect softver kako bi zaštitila korisnike, međutim i pored ogromnog broja aplikacija koje je ovaj softver spriječio da se objave, na zadnjem AV testu Play Protect je prošao katastrofalno. Zbog navedenog, sjaber kriminalci prave lažne aplikacije za praćenje stanja sa virusom  COVID-19 i tako šire ransomware za Android.

Kompanija za bezbjednost Check Point je objavila da je uočen ogroman porast registrovanih  domena od kojih je 0,8% (93 Internet stranice) zlonamjerno, a još 19% (oko 2200 Internet stranica) sumnjivo. Radi se obično o stranicama sa mapama za praćenje zaraženih  COVID-19 virusom, stranicama za pomoć ugroženim  COVID-19 virusom ili lažnim stranicama koje su kopije relevantnih institucija koje se bave ili bore protiv  COVID-19 virusa.

Do sada su uočeni napadi:

- Napadi APT36 grupe, koja je povezana sa vladom Pakistana. – izvor malwarebytes.com

- Napade hakera povezanih sa vladom Sjeverne Koreje. – izvor recordedfuture.com

- Kampanja sa temom korona virusa putem Word dokumenata koja instalirala AZORult malver. - izvor proofpoint.com

- Širenje AZORult malvera putem lažne mape korona virusa koju je postavio Univerzitet John Hopkins, prava mapa se nalazi na https://coronavirus.jhu.edu/. – izvor thehackernews.com

- Zlonamjerna aplikacija za Android pod nazivom COVID19 Tracker instalira ransomware za Android pod nazivom CovidLock – izvor domaintools.com

- Phishing (pecanje) napad sa temom korona virusa koji je krao kredencijale za Office365 putem lažne login stranice. – izvor abnormalsecurity.com

- Spam kampanja koja je tvrdila da posjeduje informacije o korona virusu, a umjesto toga je preusmjeravala korisnike na sumnjivu stranicu za prodaju lijekova. - izvor imperva.com

- Spam kampanja koja je koristila nestašicu zaštitnih maski kako bi prevarila korisnike. - izvor f-secure.com

KAKO SE ZAŠTITI:

1. Uvijek biti oprezan sa dokumentima, linkovima, slikama i video materijalima u prilogu elektronske pošte, socijalnih mreža i servisa za poruka kao što su Viber, WhatsApp, Skype i sl. od nepoznatih pošiljalaca. Ako ste nešto dobili poznatog pošiljaoca, a nije očekivano kontaktirati pošiljaoca i provjeriti da li je on poslao ili mu je možda uređaj možda kompromitovan.

2. Pratiti informacije samo na zvaničnim prezentacijama organa uprave i organizacija.

3. Koristiti provjereno Anti-virusno rješenje sa mogućnošću detekcije na osnovu ponašanja za efikasnu zaštitu od poznatih i nepoznatih prijetnji na svim vrstama operativnih sistema (Windows, Android, Linux, iOS).

4. Redovno ažurirati operativni sistem i prateći softver.

5. Uvijek preuzimati softver za zvanične stranice proizvođača ili preko zvaničnog kanala distribucije.

6. Sa udaljene lokacije pristupati poslovnoj mreži putem VPN-a.

7. Administratori trebaju vršiti konstantno praćenje stanja mreže i servisa kojim udaljeni korisnici imaju pristup.

8. Izbjegavati korištenje WiFi mreže bez upotrebe VPN-a.

INFEKCIJA UREĐAJA:

Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i respektivno ugasite uređaj. Nakon toga kontaktirajte servis i informišite se o narednom koraku.