Iznākušas nedēļas ziņas par drošības incidentiem Nr. 12-2017
Ļaundaris nodara kaitējumu pašvaldības vietnei
28.06.2017. CERT.LV saņēma informāciju no kādas pašvaldības, ka viņu mājas lapa nav pieejama un ka liela daļa mājas lapas failu ir izdzēsti dēļ nesankcionētas piekļuves mājas lapas hostinga serverim.
Veicot incidenta analīzi, tika secināts, ka 28. jūnija naktī laika posmā no pl. 5:00 līdz 6:00 ir tikuši izdzēsti mājaslapas faili un web servera žurnālfaili, lai slēptu pēdas.
Tāpat šai personai bija zināma lietotāja parole, jo sekmīga ielogošanās ir notikusi ar pirmo reizi.
Rezultātā lapa nebija pieejama vairāk kā 24 stundas un daļa no failiem bija neatgriezeniski izdzēsti un tos neizdevās atgūt. Lieta nodota policijai.
Novērš datu noplūdes risku no mājas lapas
03.07.2017. tika atklāta drošības problēma vairākās mājas lapās dažādās pasaules valstīs, kad potenciālajiem ļaundariem bija iespējams lejupielādēt atmiņas izrakstus (dump) no SQL datubāzēm, kas saturēja sensitīvu informāciju. Tie bija vairāki gigabaiti ar datiem, ieskaitot klientu un maksājumu datus.
Arī viena no Latvijas uzņēmumu vietnēm figurēja šajā incidentā, jo tā mājas lapā bija brīvi pieejams sistēmas konfigurācijas datu bāzes fails.
CERT.LV IT drošības speciālisti nekavējoties sazinājās ar uzņēmumu un paziņoja, ka šāda faila pieeja no interneta rada risku datu noplūšanai un sistēmas kompromitēšanai un lūdza ierobežot piekļuvi failam no publiskā tīkla. Tas nekavējoties tika izdarīts.
Jāpiebilst, ka uzņēmuma lapā pieejamais fails nesaturēja sensitīvus datus.
Šantāža telefonā jeb "Leaker Locker" mobilais izspiedējvīruss
10.07.2017. kļuva zināms, ka Google no vietnes Google Play noņēma divas lietotnes, kurās bija jauns mobilais izspiedējvīruss ar nosaukumu "Leaker Locker". Vīrusu atklāja McAfee drošības pētnieki. Vīruss nešifrēja lietotāju failus, bet bloķēja ierīci un draudēja nosūtīt lietotāja privātos datus viņa kontaktu sarakstam. Šis izspiedējvīrusa veids, ko dēvē arī par doxware, tika atrasts divās lietotnēs ar nosaukumu "Wallpapers Blur HD" (fonu mainītājs) un "Booster & Cleaner Pro" (aplikācija, kas it kā uzlabo tālruņa atmiņu).
Vairāk informācijas: https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/
Ievainojamība Microsoft NTLM
11.07.2017. Microsoft izlaida drošības ielāpus divām nopietnām privilēģiju eskalāciju ievainojamībām, kas ietekmē visas Windows operētājsistēmas versijas uzņēmumiem, kas izlaistas kopš 2007. gada.
Pētnieki atklāja divas nulles dienas ievainojamības Windows NTLM drošības protokolos, kuras ļauj uzbrucējam, izmantojot kompromitētu serveri tīklā, iegūt kontroli pār domēna administratora kontu. NT LAN Manager (NTLM) ir autentifikācijas protokols, ko izmanto tīklos, kuros ir sistēmas, kurās darbojas operētājsistēma Windows, kā arī atsevišķas sistēmas.
Lai gan NTLM protokols tika aizstāts ar Kerberos, lai palielinātu tīklu sistēmu drošību, Microsoft joprojām atbalsta NTLM un tas joprojām tiek plaši izmantots.
Sistēmu uzturētājiem nepieciešams veikt atjauninājumus. Atjauninājumi pieejami: https://support.microsoft.com/en-US/help/4025409/security-update-for-the-windows-elevation-of-privilege-vulnerability