Scanare pentru a identifica computerele Windows afectate de vulnerabilități

Un avertisment privind 16 vulnerabilități de securitate de nivel înalt și grave în produsele Microsoft tocmai a fost trimis de Departamentul pentru Securitatea Informațiilor ( Ministerul Informațiilor și Comunicațiilor ) către unitățile IT și de securitate a informațiilor din cadrul ministerelor, sucursalelor și localităților; corporațiilor și grupurilor de stat, precum și băncilor comerciale pe acțiuni și instituțiilor financiare.

Vulnerabilitățile menționate mai sus au fost avertizate de Departamentul de Securitate a Informațiilor pe baza evaluării și analizei listei de patch-uri din aprilie 2024 anunțată de Microsoft, care conținea 147 de vulnerabilități existente în produsele acestei companii de tehnologie.

lo-hong-1-1.jpg
Breșurile de securitate sunt una dintre „căile” pe care grupurile de hackeri le scanează și le exploatează pentru a ataca sistemul. Ilustrație: Internet

Printre cele 16 vulnerabilități de securitate nou avertizate, există 2 vulnerabilități pentru care experții recomandă o atenție specială, și anume: vulnerabilitatea CVE-2024-20678 în Remote Procedure Call Runtime - RPC (o componentă Windows care facilitează comunicarea între diferite procese din sistem prin rețea - PV), care permite atacatorilor să execute cod de la distanță; vulnerabilitatea CVE-2024-29988 în SmartScreen (o caracteristică de securitate încorporată în Windows), care permite atacatorilor să ocolească mecanismul de protecție.

Lista vulnerabilităților de securitate din produsele Microsoft avertizate de data aceasta include și 12 vulnerabilități care permit atacatorilor să execute cod de la distanță, inclusiv: 3 vulnerabilități CVE-2024-21322, CVE-2024-21323, CVE2024-29053 în „Microsoft Defender for IoT”; vulnerabilitatea CVE-2024-26256 în biblioteca open source Libarchive; vulnerabilitatea CVE-2024-26257 în foaia de calcul Microsoft Excel; 7 vulnerabilități CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 și CVE2024-26233 în „Windows DNS Server”.

În plus, unităților li se recomandă să acorde atenție și la două vulnerabilități care permit subiecților să efectueze atacuri de spoofing, inclusiv vulnerabilitatea CVE-2024-20670 din software-ul Outlook pentru Windows, care expune „hash NTML”, și vulnerabilitatea CVE-2024-26234 din driverul proxy.

Departamentul pentru Securitatea Informațiilor recomandă ca agențiile, organizațiile și întreprinderile să verifice, să analizeze și să identifice computerele care utilizează sisteme de operare Windows și care pot fi afectate și să actualizeze prompt patch-urile pentru a evita riscul atacurilor cibernetice. Scopul este de a asigura securitatea informațiilor pentru sistemele informatice ale unităților, contribuind la asigurarea siguranței spațiului cibernetic al Vietnamului.

De asemenea, unitățile sunt sfătuite să consolideze monitorizarea și să pregătească planuri de răspuns atunci când detectează semne de exploatare și atacuri cibernetice. În același timp, să monitorizeze periodic canalele de avertizare ale autorităților competente și ale marilor organizații de securitate a informațiilor pentru a detecta prompt riscurile de atacuri cibernetice.

Tot în aprilie, Departamentul de Securitate a Informațiilor a avertizat și a instruit unitățile să revizuiască și să remedieze vulnerabilitatea de securitate CVE-2024-3400 din software-ul PAN-OS. Codul de exploatare al acestei vulnerabilități a fost utilizat de către subiect pentru a ataca sistemele informatice ale multor agenții și organizații. Unităților care utilizează software-ul PAN-OS li se recomandă să actualizeze patch-ul pentru versiunile afectate lansate pe 14 aprilie.

Prioritizarea abordării riscurilor potențiale din sistem

Atacarea sistemelor prin exploatarea vulnerabilităților de securitate ale software-ului și soluțiilor tehnologice utilizate în mod obișnuit este întotdeauna considerată de experți ca fiind una dintre tendințele proeminente în domeniul atacurilor cibernetice. Nu numai că exploatează vulnerabilitățile zero-day (vulnerabilități care nu au fost descoperite) sau noile vulnerabilități de securitate anunțate de companii, grupurile de atac cibernetic scanează activ și vulnerabilitățile de securitate descoperite anterior pentru a le exploata și utiliza ca punct de plecare pentru a ataca sistemele.

W-network-information-security-1-1.jpg
Evaluarea periodică a securității informațiilor și căutarea proactivă a amenințărilor pentru a detecta și elimina potențialele riscuri de sistem reprezintă o sarcină importantă pentru unități și companii, în vederea protejării sistemelor lor. Ilustrație: K. Linh

Totuși, în realitate, Departamentul pentru Securitatea Informațiilor și agențiile și unitățile care operează în domeniul securității informațiilor emit în mod regulat avertizări despre noi vulnerabilități sau noi tendințe de atac, însă multe agenții și unități nu au acordat cu adevărat atenție actualizării și tratării prompte a acestora.

Vorbind despre un caz specific de sprijinire a unei organizații care a fost atacată la sfârșitul lunii martie, expertul Vu Ngoc Son, director tehnic al companiei NCS, a declarat: „După analiză, ne-am dat seama că incidentul ar fi trebuit gestionat mai devreme, deoarece această organizație fusese avertizată că contul de recepționer a fost compromis și trebuie gestionat imediat. Deoarece au considerat că contul de recepționer nu este important, această organizație l-a ignorat și nu l-a gestionat. Hackerul a folosit contul de recepționer, a exploatat vulnerabilitatea, a preluat drepturi administrative și a atacat sistemul.”

Statisticile publicate de Departamentul pentru Securitatea Informațiilor la sfârșitul anului trecut au arătat că peste 70% dintre organizații nu au acordat atenție revizuirii și gestionării actualizărilor și remedierii vulnerabilităților și punctelor slabe care au fost avertizate.

Confruntat cu situația menționată mai sus, în cadrul celor 6 grupe de sarcini cheie recomandate ministerelor, filialelor, localităților, agențiilor, organizațiilor și întreprinderilor pentru a se concentra asupra implementării acestora în anul 2024, Departamentul de Securitate a Informațiilor a solicitat unităților să prioritizeze rezolvarea riscurilor potențiale sau a riscurilor care sunt deja prezente în sistem.

„Unitățile ar trebui să abordeze riscurile cunoscute și riscurile existente asupra sistemului înainte de a se gândi la investiții pentru a se proteja de riscuri noi. Verificarea și evaluarea periodică a securității informațiilor în conformitate cu reglementările și căutarea amenințărilor pentru a detecta și elimina riscurile asupra sistemului sunt foarte importante și trebuie efectuate în mod regulat”, a subliniat reprezentantul Departamentului de Securitate a Informațiilor.

Ministerul Informațiilor și Comunicațiilor va crea o platformă pentru a sprijini alertarea timpurie a riscurilor de securitate a informațiilor . Așteptată să fie înființată în 2024, platforma pentru gestionarea, detectarea și alertarea timpurie a riscurilor de securitate a informațiilor va notifica automat agențiile și organizațiile cu privire la riscuri, vulnerabilități și deficiențe din sistemul informatic al unității.