Vizsgálat a sebezhetőségek által érintett Windows számítógépek azonosítására

Az Információbiztonsági Osztály ( Információs és Kommunikációs Minisztérium ) figyelmeztetést küldött a minisztériumok, ágazati egységek és települések informatikai és információbiztonsági egységeinek, állami tulajdonú vállalatoknak és csoportoknak, részvénytársasági kereskedelmi bankoknak és pénzügyi intézményeknek a Microsoft-termékek 16 magas szintű és súlyos biztonsági réséről.

A fenti sebezhetőségeket az Információbiztonsági Osztály figyelmeztette a Microsoft által 2024 áprilisában közzétett, a technológiai vállalat termékeiben 147 sebezhetőséget tartalmazó javítócsomag-lista értékelése és elemzése alapján.

lo-hong-1-1.jpg
A biztonsági réseket a hackercsoportok átvizsgálják és kihasználják a rendszer megtámadására szolgáló „útvonalak” egyikeként. Illusztráció: Internet

A 16 újonnan figyelmeztetett biztonsági rés közül 2 olyan van, amelyekre a szakértők különös figyelmet javasolnak, ezek a következők: a CVE-2024-20678 sebezhetőség a Remote Procedure Call Runtime - RPC-ben (egy Windows összetevő, amely a rendszer különböző folyamatai közötti kommunikációt teszi lehetővé a hálózaton keresztül - PV), amely lehetővé teszi a támadók számára, hogy távolról futtassanak kódot; a CVE-2024-29988 sebezhetőség a SmartScreenben (egy Windowsba beépített biztonsági funkció), amely lehetővé teszi a támadók számára, hogy megkerüljék a védelmi mechanizmust.

A Microsoft-termékekben található, ezúttal figyelmeztetett biztonsági réseket tartalmazó lista 12 olyan sebezhetőséget is tartalmaz, amelyek lehetővé teszik a támadók számára a kód távoli futtatását, beleértve: 3 sebezhetőség: CVE-2024-21322, CVE-2024-21323, CVE2024-29053 a 'Microsoft Defender for IoT' szolgáltatásban; CVE-2024-26256 sebezhetőség a Libarchive nyílt forráskódú könyvtárban; CVE-2024-26257 sebezhetőség a Microsoft Excel táblázatban; 7 sebezhetőség: CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 és CVE2024-26233 a 'Windows DNS Server' szolgáltatásban.

Ezenkívül az egységeknek két olyan sebezhetőségre is figyelmet kell fordítaniuk, amelyek lehetővé teszik az alanyok számára hamisítási támadások végrehajtását, beleértve a Windows Outlook szoftver CVE-2024-20670 sebezhetőségét, amely „NTML hash”-t tesz elérhetővé, valamint a Proxy Driver CVE-2024-26234 sebezhetőségét.

Az Információbiztonsági Osztály azt javasolja, hogy az ügynökségek, szervezetek és vállalkozások ellenőrizzék, tekintsék át és azonosítsák a valószínűleg érintett Windows operációs rendszereket használó számítógépeket, és a javításokat haladéktalanul frissítsék a kibertámadások kockázatának elkerülése érdekében. A cél az egységek információs rendszereinek információbiztonságának garantálása, hozzájárulva Vietnam kiberterének biztonságához.

Az egységeknek azt is javasoljuk, hogy fokozzák a monitorozást és készítsenek reagálási terveket a kihasználásra és a kibertámadásokra utaló jelek észlelésekor. Ezzel párhuzamosan rendszeresen figyeljék az illetékes hatóságok és a nagy szervezetek információbiztonsággal kapcsolatos figyelmeztető csatornáit a kibertámadások kockázatainak gyors észlelése érdekében.

Szintén áprilisban az Információbiztonsági Osztály figyelmeztette és utasította az egységeket, hogy vizsgálják felül és javítsák ki a PAN-OS szoftverben található CVE-2024-3400 biztonsági rést. A sebezhetőség kihasználási kódját az érintett személy számos ügynökség és szervezet információs rendszereinek megtámadására használta. A PAN-OS szoftvert használó egységeknek ajánlott frissíteniük az április 14-én kiadott érintett verziókhoz tartozó javítást.

A rendszerben rejlő potenciális kockázatok kezelésének prioritásként való kezelése

A szakértők mindig is a legkiemelkedőbb kibertámadási trendek egyikének tekintették a rendszerek támadását, kihasználva a gyakran használt szoftverek és technológiai megoldások biztonsági réseit. A kibertámadási csoportok nemcsak a nulladik napi sebezhetőségeket (fel nem fedezett sebezhetőségeket) vagy a vállalatok által bejelentett új biztonsági réseket használják ki, hanem aktívan keresik a korábban felfedezett biztonsági réseket is, hogy kihasználják és ugródeszkaként használják fel a rendszereket a támadásokhoz.

W-hálózati-információbiztonság-1-1.jpg
Az egységek és a vállalkozások számára fontos feladat a rendszereik védelme érdekében az információbiztonság rendszeres értékelése és a fenyegetések proaktív felkutatása a potenciális rendszerkockázatok felderítése és kiküszöbölése érdekében. Illusztráció: K. Linh

A valóságban azonban az Információbiztonsági Minisztérium és az információbiztonság területén működő ügynökségek és egységek rendszeresen figyelmeztetnek az új sebezhetőségekre vagy az új támadási trendekre, de sok ügynökség és egység nem igazán fordított figyelmet ezek frissítésére és azonnali kezelésére.

Egy március végén támadás érte a szervezetet támogató konkrét esetről megosztva Vu Ngoc Son szakértő, az NCS Company műszaki igazgatója elmondta: „Az elemzés után rájöttünk, hogy az incidenst korábban kellett volna kezelni, mivel a szervezetet figyelmeztették, hogy a recepciós fiók veszélybe került, és azonnal kezelni kell. Mivel úgy gondolták, hogy a recepciós fiók nem fontos, a szervezet figyelmen kívül hagyta ezt, és nem kezelte az ügyet. A hacker a recepciós fiókot használta, kihasználta a sebezhetőséget, rendszergazdai jogokat szerzett, és megtámadta a rendszert.”

Az Információbiztonsági Minisztérium által a tavaly év végén megosztott statisztikák azt mutatták, hogy a szervezetek több mint 70%-a nem fordított figyelmet a frissítések felülvizsgálatára és kezelésére, valamint a figyelmeztetett sebezhetőségek és gyengeségek javítására.

A fenti helyzettel szembesülve az Információbiztonsági Osztály arra kérte az egységeket, hogy a minisztériumok, ágazati egységek, települések, ügynökségek, szervezetek és vállalkozások számára 2024-ben végrehajtásra javasolt 6 kulcsfontosságú feladatcsoportban prioritásként kezeljék a rendszerben már meglévő vagy potenciális kockázatok megoldását.

„Az egységeknek a rendszeren ismert és meglévő kockázatokat kell kezelniük, mielőtt az új kockázatokkal szembeni védelembe való befektetésen gondolkodnának. Nagyon fontos az információbiztonság időszakos ellenőrzése és értékelése a szabályozásoknak megfelelően, valamint a fenyegetések felkutatása a rendszeren lévő kockázatok észlelése és kiküszöbölése érdekében, és ezt rendszeresen el kell végezni” – hangsúlyozta az Információbiztonsági Osztály képviselője .

Az Információs és Kommunikációs Minisztérium létrehoz egy platformot az információbiztonsági kockázatok korai előrejelzésének támogatására . A várhatóan 2024-ben létrejövő platform az információbiztonsági kockázatok kezelésére, észlelésére és korai előrejelzésére automatikusan értesíti az ügynökségeket és szervezeteket az egység információs rendszerében található kockázatokról, sebezhetőségekről és gyengeségekről.