
Remiantis „GoIT“ patirtimi, pastaraisiais metais kibernetinio saugumo...
SkaitytiRemiantis NKSC pranešimu, „Microsoft“ palaikymo diagnostikos įrankyje MSDT (Microsoft Support Diagnostic Tool) yra identifikuota apsaugos spraga, dėl kurios, pažeistose sistemose gali būti perduodamas žalingas kodas. Šis pažeidžiamumas, pavadintas „Follina“ buvo pažymėtas kaip CVE-2022-30190 ir šiuo metu yra plačiai išnaudojamas.
MSDT servisas renka duomenis iš „Windows“ ir „Windows Server“ sistemų ir siunčia juos „Microsoft“ palaikymo tarnybai. Pažeistoje sistemoje užpuolikas gali įdiegti programas, skaityti, keisti bei pašalinti duomenis arba sukurti naujas paskyras su visomis vartotojo teisėmis.
Nors dauguma iki šiol pastebėti pažeidimų atvejai buvo sukurti naudojant kenkėjiškus „Microsoft Word“ „.doc“ failus, tam gali būti panaudojami ir bet kurie „Office“ produktai, tvarkantys oleObject ryšius.
Norinčios apsiginti organizacijos gali taikyti „Microsoft“ išleistą laikiną sprendimą, kuris išjungia MSDT URL protokolą ir taip neleidžia išnaudoti apsaugos spragos:
Kuomet „Microsoft“ išleis saugumo pataisas, atstatyti pakeitimus galima bus šiuo būdu:
Plačiau apie pažeidimą:
„Follina“ leidžia įvykdyti „Remote Code Execution“ (RCE) aplinkose, pasinaudojant pažeidžiamu „Microsoft“ palaikymo diagnostikos įrankiu (MSDT), kuris yra būdingas visoms palaikomoms „Windows“ operacinėms sistemoms ir serveriams. Sėkmingiausiai tam yra naudojami „Microsoft Office“ dokumentai, įkeliantys HTML failus iš nuotolinės vietos, kurie vykdo kenkėjiškas PowerShell komandas.
Apsaugos specialistų „Fortinet“ tirti kenkėjiški dokumentai gali piktnaudžiauti „Microsoft Word“ nuotolinio šablono funkcija ir ištraukti HTML failą, kuriame yra įterptas „JavaScript“ kodas. Jis naudoja ms-msdt schemą, kad vykdytų „PowerShell“ komandą – „Invoke-Expression”. Komanda nutraukia „Microsoft“ palaikymo diagnostikos įrankio (msdt.exe) procesą ir galiausiai paleidusi failus, esančius .RAR faile, paleidžia kenkėjišką vykdomąjį failą rgb.exe. Tyrėjai pastebėjo, kad šiuos failus galima įjungti, net tuo atveju kai yra išjungtos „Microsoft Word“ makrokomandos. Tai reiškia jog potencialiai juos galima pasiekti ir įjungti naudojant .RTF failą, taip apeinant „protected view“ funkcionalumą.
Remiantis „GoIT“ patirtimi, pastaraisiais metais kibernetinio saugumo...
SkaitytiDuomenų apsauga bei inovacijos technologijų srityje yra bene didžiaus...
SkaitytiVienas seniausių Lietuvos natūralių lininių audinių gamintojų AB „LIN...
SkaitytiPernai metais Lietuvą ir pasaulį sukrėtė ne vienas kibernetinis nusik...
SkaitytiPraeitais metais sensacingai pristatytas pokalbių robotas ChatGPT išn...
SkaitytiPrieš ambicingai planuodami naujų metų tikslus tradiciškai „GoIT“ kom...
Skaityti„GoIT“ siekdama pasiūlyti klientams kuo efektyvesnius sprendimus vers...
SkaitytiSkaičiuojama, kad kiekvieną minutę kibernetiniai nusikaltėliai visame...
SkaitytiAkcinės bendrovės „VIAMATIKA“ veikloje nestinga iššūkių. Bendrovės ...
SkaitytiGOIT puslapyje yra naudojami keturi pagrindiniai slapukų tipai.
about cookies