преди 14 минути, Joss Bomon написа:

Крайно време е, да си признаят

Нали постоянно са с голямата губерка и кърпят

преди 8 минути, цър-вул написа:

Нали постоянно са с голямата губерка и кърпят

Да си кърпят, щом има за кърпене, но да не се оправдават с хардуера.

Необичайна малуер атака насочена към Office 365/Microsoft 365 потребители:
https://www.zdnet.com/article/microsoft-warns-these-attackers-can-go-from-first-contact-to-launching-ransomware-in-just-48-hours

Уха... в Русия съм, в Русия съм...

Цитат

Black Hat 2021: DNS loophole makes nation-state level spying as easy as registering a domain

https://www.wiz.io/blog/black-hat-2021-dns-loophole-makes-nation-state-level-spying-as-easy-as-registering-a-domain

 

Google и Amazon вече са се поправили. За другите, вероятно ще издадат специални бюлетини.

Adguard и Cloudflare и те

За разлика от Comodo... Тук може да проверите (за обръщане на цифров адрес в URL, nslookup [цифровия адрес].

https://dynamic-dns-checker.tools.wiz.io/

преди 3 минути, Мальчик Бананан написа:

Тук може да проверите (за обръщане на цифров адрес в URL, nslookup [цифровия адрес]

cmd /k nslookup XXX.XXX.XXX.XXX

При мен е терминал и просто nslookup xxx.xxx.xxx. Иначе, доколкото схващам, тази новина засяга основно разни компании и бизнеси, които със сигурност не трябва да можеш да им мапваш вътрешната мрежа и подобни неща. Независимо от това е значимо.

PatchTuesday за Август:

https://support.microsoft.com/en-us/topic/august-10-2021-kb5005033-os-builds-19041-1165-19042-1165-and-19043-1165-b4c77d08-435a-4833-b9f7-e092372079a4

Честито! Ransomware през Print Spooler 
https://www.zdnet.com/article/ransomware-now-attackers-are-exploiting-windows-printnightmare-vulnerabilities

Ем да внимават тези, които не са приложили пачовете и които нямат навика да правят бекъп и не ползват солидни методи за защита.

Преди дни се появи и 0-day:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

Обзалагам се, че няма да е последния.

Защита срещу CVE-2021-36958 експлойтите:
За тези, които не ползват принт сървър - задаване на фалшив адрес в:
gpedit.msc
> User Configuration 
> Administrative Templates 
> Control Panel 
> Printers 
> Package Point and Print – Approved Servers

Източник:

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/

 

Тази услуга Print Spooler се оказва швейцарско сирене като флаша 

То надали е само тя. Това, което отдавна е бил най-големият проблем и най-привлекателната характеристика на Уиндоус е ..секюрити дизайна на системата. Който идва по подразбиране, де. А не, че не може да се заздрави. Груповите политики например са един доста мощен и лесен за използване инструмент (няма да пишеш в терминали конзоли, да ръчкаш - почти всичко става с отмятане на чавки и човешки разбираеми обяснения - даже разяснителни балончета ти излизат). Другото е начина на разпространение на софтуера. Да направят Windows Store единственото място, от което да си инсталираш софтуера (като променят формата на инсталационните файлове, примерно). Строг контрол и животът на Уин потребителите ще е по-лесен.

Процесорите на AMD от серията Zen са уязвими за подобна на Meltdown атака
https://winaero.com/amds-zen-processor-family-is-vulnerable-to-a-data-bothering-meltdown-like-attack

https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html
https://thehackernews.com/2021/09/fin7-hackers-using-windows-11-themed.html
https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html

https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html

Разработчика на Trickbot е арестуван при опит за напускане на Корея:

https://www.bleepingcomputer.com/news/security/trickbot-gang-developer-arrested-when-trying-to-leave-korea/

преди 47 минути, цър-вул написа:

https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html

Това си го дал вече в горния си коментар.

Да, вярно - заплес.
Как беше - по-добре дублирана новина, отколкото пропусната...

Zloader се опитва да спре/изтрие услугите на Windows Defender за да избегне засичане:

https://www.bleepingcomputer.com/news/security/new-zloader-attacks-disable-windows-defender-to-evade-detection/

След 15-тина мин. идва и PatchTuesday. Само напомняне.

Потекоха.

Засега оскъдна информация.

https://support.microsoft.com/en-us/topic/september-14-2021-kb5005565-os-builds-19041-1237-19042-1237-and-19043-1237-292cf8ed-f97b-4cd8-9883-32b71e3e6b44

Тук има повече сведения:

https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5005565-and-kb5005566-cumulative-updates-released/

https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2021-patch-tuesday-fixes-2-zero-days-60-flaws/

Ще настане липса на тапи за дупките... Иначе хардуера им виновен, а...

Нова зараза се разпространява чрез MSI инсталатори (с големина над 100MB за да избегне засичането) и стартира Payload, който използва PowerShell скрипт.

https://thehackernews.com/2021/09/a-new-jupyter-malware-version-is-being.html

Може би е добра идея да проверите и затегнете правата на PowerShell и възможността му да изпълнява скриптове, когато това не ви е необходимо.

Проверете правата с командата:

Get-ExecutionPolicy -List

За ограничаване на правата може да се ползват например командите:

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted

Разбира се с инструменти като Hard_Configurator и SysHardener (OSArmor) също може да се изключи напълно PowerShell-a ако не се ползва.

FinSpy е обновен за да заразява UEFI.

https://thehackernews.com/2021/09/new-finspy-malware-variant-infects.html

https://www.bleepingcomputer.com/news/security/finfisher-malware-hijacks-windows-boot-manager-with-uefi-bootkit/

https://securelist.com/finspy-unseen-findings/104322/#iocs

Според препоръките на NSA е добре да се включи Secure Boot на FULL или Thorough режим за предпазване от този сорт атаки. Не е уточнено, но според мен парола на БИОС-а и програма, която следи заявките на ниско ниво (HIPS) може би също биха помогнали. Според Касперски не е известен и вектора на атаката, но се предполага, че се изисква физически достъп до машината за да се зарази. Ако е така ще е добре.

Други интересни новини са троянец, който е на лов за геймърски акаунти:

https://thehackernews.com/2021/09/new-bloodystealer-trojan-steals-gamers.html

Малко светлина относно атаката над SolarWinds - Открит в нов бекдор (задна врата) свързана с тази атака:

https://thehackernews.com/2021/09/new-tomiris-backdoor-found-linked-to.html

Ползвателите на Google Chrome и всички Chromium базирани браузъри е добре да обновят до последната версия:

https://thehackernews.com/2021/09/update-google-chrome-asap-to-patch-2.html

или през самите браузъри или от каталога на сайта: (няма да пускам за всички браузъри, има ги в търсачката на главната страница):

https://www.kaldata.com/софтуер/google-chrome-51242.html

https://www.kaldata.com/софтуер/microsoft-edge-330577.html