Alert Cyberbezpieczeństwa – nowa podatność ZeroDay i przedłużenie alertu Charlie CRP
Zobacz, czym jest Follina i jak się przed nią ustrzec
Do tej pory, w przeważającej większości przypadków, zainfekowane pliki pakietu Microsoft Office wykorzystywały makra. Podatność „Follina” działa zupełnie inaczej – wystarczy otworzyć plik tekstowy, aby uruchomić niebezpieczny skrypt.
W skrócie działa to tak, że otwarcie dokumentu Word powoduje pobranie zewnętrznego pliku HTML, w którym znajduje się instrukcja wykonująca polecenie msdt.exe. W ten sposób uruchamiane jest systemowe narzędzie MSDT*, za pomocą którego można wykonać dowolny kod w PowerShellu. Jaki? To już zależy wyłącznie od wyobraźni cyberprzestępcy…
Niestety, na dzień dzisiejszy, żadna łatka zabezpieczająca od Microsoftu nie jest dostępna. Aby ustrzec się przed podatnością „Follina” należy w Axence nVision® przejść do:
Użytkownicy -> Wszyscy użytkownicy -> Informacje o Atlasie -> Blokady -> Blokowanie aplikacji
a następnie zablokować aplikację msdt.exe.
Warto również stworzyć raport automatyczny pokazujący konta pracownika, na których uruchomiono msdt.exe i zaglądać do niego regularnie. W nVision taki raport może być automatycznie generowany i wysyłany na wskazany adres email.
Jest to również doskonały moment, aby trwale zablokować możliwość uruchamiania PowerShella przez pracowników. Z naszych obserwacji wynika, że zdecydowana większość organizacji nie posiada takiej blokady, a co za tym idzie, pozostawia furtkę do niebezpiecznych ataków szeroko otwartą.
Możemy to zrobić, przechodząc do:
Użytkownicy -> Wszyscy użytkownicy -> Informacje o Atlasie -> Blokady -> Blokowanie aplikacji
A następnie wpisując powershell.exe.
W tym przypadku również warto skonfigurować automatyczne raporty pokazujące, na których komputerach PowerShell jest uruchamiany.
Więcej informacji na temat samej podatności „Follina” znajdziesz np. na stronie Kapitana Hacka.
Przedłużenie alertu CHARLIE-CRP
Rząd podjął decyzję o przedłużeniu do końca czerwca III stopnia alarmowego związanego z zagrożeniem cyberterroryzmem. Przypominamy, że stan alarmowy nakłada na część organów administracji publicznej dodatkowe obowiązki, które wyszczególnione są w rozporządzeniu Prezesa Rady Ministrów z 25 lipca 2016 r.
* MSDT (Microsoft Support Diagnostic Tool) to wbudowane narzędzie wykorzystywane przez system Windows do raportowania, diagnostyki i rozwiązywania błędów systemu operacyjnego.
Artykuły z kategorii Pinned
Upgradeami Jesień się Zaczyna - Promocja BACK TO WORK z Axence nVision®
2.09.2024Letnia fala cyberbezpieczeństwa z Axence SecureTeam®
1.07.2024Przeczytaliśmy WSZYSTKO i więcej o NIS2. O naszych wnioskach opowiemy na webinarze już 11. czerwca
31.05.2024Stacjonarne warsztaty CyberSec AdminDays już w czerwcu!
15.05.2024Wrzuć wyższy bieg z nowym nVision 15.5 i wkręć swoje IT na najwyższe obroty!
23.04.2024