מיקרוסופט פרסמה בחודש מאי האחרון כי זוהתה פגיעות קריטית בשירות Remote Desktop Services (CVE-2019-0708), המשמש לגישה מרחוק לתחנות עבודה ושרתים הפועלים על גבי מערכת ההפעלה Windows, בגרסאות ישנות.
הגרסאות הפגיעות הינן Windows XP, 2003, 7, 2008.
מערך הסייבר הלאומי התריע מיד לאחר הפרסום לגבי הצורך לעדכן מערכות הפעלה אלו.
[עדכון 2] בימים האחרונים זוהתה פעילות תקיפה המנצלת פגיעות זו להתקנת פוגען המבצע כריית מטבעות וירטואליים.
אנו חוזרים וממליצים בתוקף לבחון ולהתקין את עדכוני האבטחה הרלוונטיים בהקדם האפשרי.
הגרסאות הפגיעות הינן Windows XP, 2003, 7, 2008.
מערך הסייבר הלאומי התריע מיד לאחר הפרסום לגבי הצורך לעדכן מערכות הפעלה אלו.
[עדכון 2] בימים האחרונים זוהתה פעילות תקיפה המנצלת פגיעות זו להתקנת פוגען המבצע כריית מטבעות וירטואליים.
אנו חוזרים וממליצים בתוקף לבחון ולהתקין את עדכוני האבטחה הרלוונטיים בהקדם האפשרי.
ב-12 לחודש פרסמה מיקרוסופט כ-74 עדכוני אבטחה לפגיעויות בתוכנות נתמכות, 15 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בין הפגיעויות שפורסמו עבורן עדכוני אבטחה, פגיעות Zero Day בדפדפן Internet Explorer, CVE-2019-1429, המנוצלת בפועל על ידי תוקפים.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בין הפגיעויות שפורסמו עבורן עדכוני אבטחה, פגיעות Zero Day בדפדפן Internet Explorer, CVE-2019-1429, המנוצלת בפועל על ידי תוקפים.
התרעה: תקיפות ממוקדות כנגד מגזר המלונאות (Hospitality) לצורך איסוף מידע עסקי
שלום רב,
מגזר המלונאות הוא יעד אטרקטיבי עבור קבוצות תקיפה רבות. הסיבה לכך היא העובדה שמלונות, בתי הארחה, סוכנויות נסיעות וחברות שירותים ממגזר זה שומרים מידע אישי ופיננסי רב השייך ללקוחותיהם.
נסיעות עסקים גורמות לבעלי תפקידים, חלקם בכירים מאד, לעבוד מחוץ לסביבת העבודה הארגונית המוגנת והנתמכת, בסביבה שרמת אבטחתה אינה ידועה, העלולה לאפשר גישה של גורמים עוינים למידע רגיש, הן במחשבי המנהלים עצמם והן בשרתי חברות המלונאות המשרתות אותם.
בשנה החולפת פורסמו שני אירועי דלף מידע שכללו מספר גבוה מאד של רשומות, מרשתות המלונאות Accor ו-Starwood, והעמידו בסכנה מידע רגיש של לקוחות וחברות מכל רחבי העולם.
מזה למעלה מעשור מוכרים מתווי תקיפה על-ידי קבוצות תקיפה וריגול סייבר כנגד מגזר המלונאות. קבוצות התקיפה מנצלות את שהותם של אורחים עסקיים בכירים במלונות יוקרה, ותוקפות אותם במטרה לגנוב מידע אישי ופיננסי הן של הבכירים עצמם, והן של החברות והארגונים אותם הם מייצגים, באמצעות השגת גישה לרשת ה-Wi-Fi של המלון.
אף שאין מדובר בתופעה חדשה, המודעות בקרב מנהלים וגורמים בכירים נוספים בארגונים השונים, לסיכונים הנובעים משימוש ברשתות Wi-Fi ציבוריות, עודנה נמוכה.
מטרת מסמך זה היא מתן סקירה של קבוצות התקיפה שהוזכרו מעלה ושיטות הפעולה שלהן, וכן מתן המלצות למנהלי חברות וארגונים, כיצד להימנע מפגיעה שתבוצע באמצעות תקיפה במתווים אלו, בזמן שהותם בחו"ל.
שלום רב,
מגזר המלונאות הוא יעד אטרקטיבי עבור קבוצות תקיפה רבות. הסיבה לכך היא העובדה שמלונות, בתי הארחה, סוכנויות נסיעות וחברות שירותים ממגזר זה שומרים מידע אישי ופיננסי רב השייך ללקוחותיהם.
נסיעות עסקים גורמות לבעלי תפקידים, חלקם בכירים מאד, לעבוד מחוץ לסביבת העבודה הארגונית המוגנת והנתמכת, בסביבה שרמת אבטחתה אינה ידועה, העלולה לאפשר גישה של גורמים עוינים למידע רגיש, הן במחשבי המנהלים עצמם והן בשרתי חברות המלונאות המשרתות אותם.
בשנה החולפת פורסמו שני אירועי דלף מידע שכללו מספר גבוה מאד של רשומות, מרשתות המלונאות Accor ו-Starwood, והעמידו בסכנה מידע רגיש של לקוחות וחברות מכל רחבי העולם.
מזה למעלה מעשור מוכרים מתווי תקיפה על-ידי קבוצות תקיפה וריגול סייבר כנגד מגזר המלונאות. קבוצות התקיפה מנצלות את שהותם של אורחים עסקיים בכירים במלונות יוקרה, ותוקפות אותם במטרה לגנוב מידע אישי ופיננסי הן של הבכירים עצמם, והן של החברות והארגונים אותם הם מייצגים, באמצעות השגת גישה לרשת ה-Wi-Fi של המלון.
אף שאין מדובר בתופעה חדשה, המודעות בקרב מנהלים וגורמים בכירים נוספים בארגונים השונים, לסיכונים הנובעים משימוש ברשתות Wi-Fi ציבוריות, עודנה נמוכה.
מטרת מסמך זה היא מתן סקירה של קבוצות התקיפה שהוזכרו מעלה ושיטות הפעולה שלהן, וכן מתן המלצות למנהלי חברות וארגונים, כיצד להימנע מפגיעה שתבוצע באמצעות תקיפה במתווים אלו, בזמן שהותם בחו"ל.
התרעה - עדכון האבטחה החודשי של מיקרוסופט – דצמבר 19
ב-10 לחודש פרסמה מיקרוסופט כ-37 עדכוני אבטחה לפגיעויות בתוכנות נתמכות, 7 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בין הפגיעויות שפורסמו עבורן עדכוני אבטחה, פגיעות אחת מסוג Zero Day ברכיב Win32k של מערכת ההפעלה (CVE-2019-1458).
הפגיעות עלולה לאפשר העלאת הרשאות לאחר אחיזה ראשונית בעמדה, ומנוצלת בפועל על ידי תוקפים.
ב-10 לחודש פרסמה מיקרוסופט כ-37 עדכוני אבטחה לפגיעויות בתוכנות נתמכות, 7 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בין הפגיעויות שפורסמו עבורן עדכוני אבטחה, פגיעות אחת מסוג Zero Day ברכיב Win32k של מערכת ההפעלה (CVE-2019-1458).
הפגיעות עלולה לאפשר העלאת הרשאות לאחר אחיזה ראשונית בעמדה, ומנוצלת בפועל על ידי תוקפים.
👍1
עדכון: זיהוי נסיונות חוזרים לניצול חולשה CVE-2019-0604 בממשקי SharePoint
בחודש אפריל פרסם ה-CERT הלאומי התרעה אודות נסיונות ניצול של חולשה CVE-2019-0604 באמצעות כלי בשם ChinaChopper אל מול ממשקי SharePoint החשופים לאינטרנט, לשם העלאת Webshell.
לאחרונה זוהו נסיונות חוזרים לניצול חולשה זו, ועל כן ההתרעה מופצת בשנית ועמה ההמלצה להטמיע את עדכון האבטחה למוצר SharePoint שפורסם על-ידי מיקרוסופט.
בחודש אפריל פרסם ה-CERT הלאומי התרעה אודות נסיונות ניצול של חולשה CVE-2019-0604 באמצעות כלי בשם ChinaChopper אל מול ממשקי SharePoint החשופים לאינטרנט, לשם העלאת Webshell.
לאחרונה זוהו נסיונות חוזרים לניצול חולשה זו, ועל כן ההתרעה מופצת בשנית ועמה ההמלצה להטמיע את עדכון האבטחה למוצר SharePoint שפורסם על-ידי מיקרוסופט.
התרעה - פעילות נכונה וסיכונים בעבודה עם פלטפורמות חקירה מקוונות
בחודשים האחרונים התקבלו ב-CERT הלאומי עשרות אינדיקציות להעלאת קבצים המכילים מידע רגיש לפלטפורמות חקירה מקוונות, כדוגמת VirusTotal, Opswat, HybridAnalysis, ו-JoeSandBox, על-ידי חברות גדולות במשק וארגונים ממשלתיים.
2. בכלל המקרים הקבצים הועלו בשוגג או באופן אוטומטי על-ידי עובדים או מערכות שלא הוגדרו כראוי.
3. מטרת מסמך זה הוא הצגת דוגמאות למקרים של דלף מידע באמצעות פלטפורמות אלו, סקירת השימושים המתקדמים שהן מאפשרות, ומתן המלצות לשימוש בטוח בהן.
בחודשים האחרונים התקבלו ב-CERT הלאומי עשרות אינדיקציות להעלאת קבצים המכילים מידע רגיש לפלטפורמות חקירה מקוונות, כדוגמת VirusTotal, Opswat, HybridAnalysis, ו-JoeSandBox, על-ידי חברות גדולות במשק וארגונים ממשלתיים.
2. בכלל המקרים הקבצים הועלו בשוגג או באופן אוטומטי על-ידי עובדים או מערכות שלא הוגדרו כראוי.
3. מטרת מסמך זה הוא הצגת דוגמאות למקרים של דלף מידע באמצעות פלטפורמות אלו, סקירת השימושים המתקדמים שהן מאפשרות, ומתן המלצות לשימוש בטוח בהן.
התרעה - פגיעות בשרתי Citrix ADC (Citrix/NetScaler Gateway) מאפשרת הרצת קוד מרחוק ללא הזדהות
ב-17 לדצמבר פרסמה חברת סיטריקס כי בשרתים מסוג ADC (Application Delivery Controller) מתוצרתה, אשר מוכרים גם בשם Citrix/NetScaler Gateway, קיימת פגיעות קריטית העלולה לאפשר לתוקף הרצת קוד מרחוק ללא צורך בהזדהות.
תקיפה מסוג זה עלולה לאפשר לתוקף המשך תנועה מתוך שרת הסיטריקס אל משאבים פנימיים ברשת הארגונית, הנגישים לשרת הסיטריקס.
לפגיעות זו טרם פורסם עדכון אבטחה, אולם החברה פרסמה מענה זמני לפגיעות (Mitigation), המאפשר חסימת התקיפה, באמצעות הגדרת חוק מסוים על השרת. מענה זה ישמש להגנה על השרת עד להתקנת עדכון קושחה (Firmware) אשר יפורסם בעתיד על ידי החברה.
אנו ממליצים בתוקף לכל ארגון העושה שימוש בציוד זה, להטמיע ולהפעיל מיידית מענה זה.
ב-17 לדצמבר פרסמה חברת סיטריקס כי בשרתים מסוג ADC (Application Delivery Controller) מתוצרתה, אשר מוכרים גם בשם Citrix/NetScaler Gateway, קיימת פגיעות קריטית העלולה לאפשר לתוקף הרצת קוד מרחוק ללא צורך בהזדהות.
תקיפה מסוג זה עלולה לאפשר לתוקף המשך תנועה מתוך שרת הסיטריקס אל משאבים פנימיים ברשת הארגונית, הנגישים לשרת הסיטריקס.
לפגיעות זו טרם פורסם עדכון אבטחה, אולם החברה פרסמה מענה זמני לפגיעות (Mitigation), המאפשר חסימת התקיפה, באמצעות הגדרת חוק מסוים על השרת. מענה זה ישמש להגנה על השרת עד להתקנת עדכון קושחה (Firmware) אשר יפורסם בעתיד על ידי החברה.
אנו ממליצים בתוקף לכל ארגון העושה שימוש בציוד זה, להטמיע ולהפעיל מיידית מענה זה.
בחודש האחרון פרסמה חברת IBM כי זיהתה גרסה חדשה של נוזקת Wiper שפותחה על-ידי תוקפים הפועלים בחסות מדינתית, ונוצלה לתקיפות נגד חברות אנרגיה במזרח התיכון.
נוזקות Wiper הן נוזקות המשמשות למתקפות CNA (Computer Network Attack), כלומר מתקפות שמטרתן היא גרימת הרס או שיבוש של מערכות מחשוב, בניגוד למתקפות CNE (Computer Network Exploitation), מתקפות שמטרתן היא גניבת מידע (Data) ממערכות או השגת מידע על מערכות ותצורתן.
נוזקות אלו משמשות להשבתת מערכות מחשוב באמצעות השמדת מידע המאוחסן בהן. השבתה של מערכות קריטיות או מספר רב של מערכות בארגון, עלולה לגרום להשבתתו.
מסטטיסטיקות של ה-CERT הלאומי עולה כי מתקפות CNA המערבות נוזקות Wiper אינן רווחות במשק הישראלי, שכן הן משמשות לפגיעה בארגונים אך לא מסייעות לתוקפים להשיג מידע או רווח כלכלי. עם זאת, מתקפות סייבר משמעותיות שאירעו בעולם בשנים האחרונות מבהירות את הנזק הרב שנוזקות אלו עלולות לגרום ואת הצורך בהתגוננות מפניהן.
האמור מציף מגמה של חיבור ואף סנכרון של כלים ומטרות בין קבוצות התקיפה השונות (Cybercrime | APT), עובדה שמקשה פעמים רבות לזהות את התוקף ולהבין את מטרותיו.
נוזקות Wiper הן נוזקות המשמשות למתקפות CNA (Computer Network Attack), כלומר מתקפות שמטרתן היא גרימת הרס או שיבוש של מערכות מחשוב, בניגוד למתקפות CNE (Computer Network Exploitation), מתקפות שמטרתן היא גניבת מידע (Data) ממערכות או השגת מידע על מערכות ותצורתן.
נוזקות אלו משמשות להשבתת מערכות מחשוב באמצעות השמדת מידע המאוחסן בהן. השבתה של מערכות קריטיות או מספר רב של מערכות בארגון, עלולה לגרום להשבתתו.
מסטטיסטיקות של ה-CERT הלאומי עולה כי מתקפות CNA המערבות נוזקות Wiper אינן רווחות במשק הישראלי, שכן הן משמשות לפגיעה בארגונים אך לא מסייעות לתוקפים להשיג מידע או רווח כלכלי. עם זאת, מתקפות סייבר משמעותיות שאירעו בעולם בשנים האחרונות מבהירות את הנזק הרב שנוזקות אלו עלולות לגרום ואת הצורך בהתגוננות מפניהן.
האמור מציף מגמה של חיבור ואף סנכרון של כלים ומטרות בין קבוצות התקיפה השונות (Cybercrime | APT), עובדה שמקשה פעמים רבות לזהות את התוקף ולהבין את מטרותיו.
חברת Check Point חשפה לאחרונה מתקפת BEC בעלת מתווה ייחודי, העושה שימוש בשיטת Lookalike Domains.
מטרת פרסום זה היא חשיפת שיטת הפעולה של התוקפים, לטובת זיהוי ומניעה בגופים נוספים במשק.
בהקשר זה, מופצת בשנית התרעה העוסקת בהרחבה במתקפות BEC, ובייחוד בדרך של התחזות קולית.
שיטת הפעולה של התוקפים, כפי שנחשף על-ידי חברת Check Point היא כלהלן:
שליחת הודעות דיוג (Phishing) לעובדים בארגון היעד להשגת גישה למערכות הארגון.
ביצוע תנועה רוחבית בארגון לחיפוש ערוצים פיננסיים.
רכישת שמות מתחם (Domains) דומים לאלו של הארגון ושל הגורמים הפיננסיים העובדים מולו (ספקים, לקוחות וכו') וניהול תקשורת מול כל אחד מהצדדים.
הגדרת חוקים (Rules) בדוא"ל לחסימה או הסטה של הודעות דוא"ל, בהתאם לצרכיהם.
ציון חשבונות בנק חלופיים בתכתובות, להסטת ההעברות הבנקאיות לחשבונם.
במקרה של זיהוי מתווה דומה או חשד לכך, ניתן לפנות ל-CERT הלאומי במספר 119.
מטרת פרסום זה היא חשיפת שיטת הפעולה של התוקפים, לטובת זיהוי ומניעה בגופים נוספים במשק.
בהקשר זה, מופצת בשנית התרעה העוסקת בהרחבה במתקפות BEC, ובייחוד בדרך של התחזות קולית.
שיטת הפעולה של התוקפים, כפי שנחשף על-ידי חברת Check Point היא כלהלן:
שליחת הודעות דיוג (Phishing) לעובדים בארגון היעד להשגת גישה למערכות הארגון.
ביצוע תנועה רוחבית בארגון לחיפוש ערוצים פיננסיים.
רכישת שמות מתחם (Domains) דומים לאלו של הארגון ושל הגורמים הפיננסיים העובדים מולו (ספקים, לקוחות וכו') וניהול תקשורת מול כל אחד מהצדדים.
הגדרת חוקים (Rules) בדוא"ל לחסימה או הסטה של הודעות דוא"ל, בהתאם לצרכיהם.
ציון חשבונות בנק חלופיים בתכתובות, להסטת ההעברות הבנקאיות לחשבונם.
במקרה של זיהוי מתווה דומה או חשד לכך, ניתן לפנות ל-CERT הלאומי במספר 119.