Σάρωση για τον εντοπισμό υπολογιστών με Windows που επηρεάζονται από ευπάθειες

Μια προειδοποίηση σχετικά με 16 υψηλού επιπέδου και σοβαρά τρωτά σημεία ασφαλείας σε προϊόντα της Microsoft μόλις εστάλη από το Τμήμα Ασφάλειας Πληροφοριών ( Υπουργείο Πληροφοριών και Επικοινωνιών ) σε μονάδες πληροφορικής και ασφάλειας πληροφοριών υπουργείων, παραρτημάτων και τοπικών αρχών, σε κρατικές εταιρείες και ομίλους, καθώς και σε μετοχικές εμπορικές τράπεζες και χρηματοπιστωτικά ιδρύματα.

Τα παραπάνω τρωτά σημεία προειδοποιήθηκαν από το Τμήμα Ασφάλειας Πληροφοριών βάσει αξιολόγησης και ανάλυσης από τη λίστα ενημερώσεων κώδικα του Απριλίου 2024 που ανακοίνωσε η Microsoft με 147 τρωτά σημεία που υπάρχουν στα προϊόντα αυτής της εταιρείας τεχνολογίας.

lo-hong-1-1.jpg
Τα κενά ασφαλείας είναι μία από τις «διαδρομές» που σαρώνουν και εκμεταλλεύονται ομάδες χάκερ για να επιτεθούν στο σύστημα. Εικόνα: Διαδίκτυο

Μεταξύ των 16 πρόσφατα προειδοποιημένων ευπαθειών ασφαλείας, υπάρχουν 2 ευπάθειες στις οποίες οι ειδικοί συνιστούν ιδιαίτερη προσοχή, οι οποίες είναι: η ευπάθεια CVE-2024-20678 στο Remote Procedure Call Runtime - RPC (ένα στοιχείο των Windows που διευκολύνει την επικοινωνία μεταξύ διαφορετικών διεργασιών στο σύστημα μέσω του δικτύου - PV), η οποία επιτρέπει στους εισβολείς να εκτελούν κώδικα από απόσταση· η ευπάθεια CVE-2024-29988 στο SmartScreen (μια λειτουργία ασφαλείας ενσωματωμένη στα Windows), η οποία επιτρέπει στους εισβολείς να παρακάμπτουν τον μηχανισμό προστασίας.

Η λίστα με τα τρωτά σημεία ασφαλείας στα προϊόντα της Microsoft που προειδοποιήθηκαν αυτή τη φορά περιλαμβάνει επίσης 12 τρωτά σημεία που επιτρέπουν στους εισβολείς να εκτελούν κώδικα εξ αποστάσεως, όπως: 3 τρωτά σημεία CVE-2024-21322, CVE-2024-21323, CVE2024-29053 στο «Microsoft Defender for IoT», το τρωτό σημείο CVE-2024-26256 στη βιβλιοθήκη ανοιχτού κώδικα Libarchive, το τρωτό σημείο CVE-2024-26257 στο υπολογιστικό φύλλο του Microsoft Excel, 7 τρωτά σημεία CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 και CVE2024-26233 στο «Windows DNS Server».

Επιπλέον, συνιστάται στις μονάδες να δώσουν προσοχή σε δύο ευπάθειες που επιτρέπουν στα υποκείμενα να εκτελούν επιθέσεις πλαστογράφησης, συμπεριλαμβανομένης της ευπάθειας CVE-2024-20670 στο λογισμικό Outlook για Windows που εκθέτει τον «κατακερματισμό NTML» και της ευπάθειας CVE-2024-26234 στο πρόγραμμα οδήγησης Proxy.

Το Τμήμα Ασφάλειας Πληροφοριών συνιστά στους οργανισμούς, τους οργανισμούς και τις επιχειρήσεις να ελέγχουν, να εξετάζουν και να εντοπίζουν υπολογιστές που χρησιμοποιούν λειτουργικά συστήματα Windows και είναι πιθανό να επηρεαστούν, και να ενημερώνουν άμεσα τις ενημερώσεις κώδικα για την αποφυγή του κινδύνου κυβερνοεπιθέσεων. Στόχος είναι η διασφάλιση της ασφάλειας των συστημάτων πληροφοριών των μονάδων, συμβάλλοντας στην ασφάλεια του κυβερνοχώρου του Βιετνάμ.

Συνιστάται επίσης στις μονάδες να ενισχύσουν την παρακολούθηση και να καταρτίσουν σχέδια αντιμετώπισης κατά την ανίχνευση σημαδιών εκμετάλλευσης και κυβερνοεπιθέσεων. Παράλληλα, να παρακολουθούν τακτικά τα κανάλια προειδοποίησης των αρμόδιων αρχών και των μεγάλων οργανισμών ασφάλειας πληροφοριών για την άμεση ανίχνευση κινδύνων κυβερνοεπιθέσεων.

Επίσης, τον Απρίλιο, το Τμήμα Ασφάλειας Πληροφοριών προειδοποίησε και έδωσε οδηγίες στις μονάδες να εξετάσουν και να διορθώσουν την ευπάθεια ασφαλείας CVE-2024-3400 στο λογισμικό PAN-OS. Ο κώδικας εκμετάλλευσης αυτής της ευπάθειας έχει χρησιμοποιηθεί από το άτομο για να επιτεθεί στα συστήματα πληροφοριών πολλών υπηρεσιών και οργανισμών. Συνιστάται στις μονάδες που χρησιμοποιούν λογισμικό PAN-OS να ενημερώσουν την ενημέρωση κώδικα για τις επηρεαζόμενες εκδόσεις που κυκλοφόρησαν στις 14 Απριλίου.

Δώστε προτεραιότητα στην αντιμετώπιση πιθανών κινδύνων στο σύστημα

Οι επιθέσεις σε συστήματα μέσω της εκμετάλλευσης τρωτών σημείων ασφαλείας κοινώς χρησιμοποιούμενων λογισμικών και τεχνολογικών λύσεων θεωρείται πάντα από τους ειδικούς ως μία από τις εξέχουσες τάσεις στις κυβερνοεπιθέσεις. Όχι μόνο εκμεταλλεύονται τρωτά σημεία zero-day (τρωτά σημεία που δεν έχουν ανακαλυφθεί) ή νέα τρωτά σημεία ασφαλείας που ανακοινώνονται από εταιρείες, αλλά και οι ομάδες κυβερνοεπιθέσεων σαρώνουν ενεργά για προηγουμένως ανακαλυφθέντα τρωτά σημεία ασφαλείας, τα οποία εκμεταλλεύονται και χρησιμοποιούν ως εφαλτήριο για την επίθεση σε συστήματα.

W-network-information-security-1-1.jpg
Η περιοδική αξιολόγηση της ασφάλειας των πληροφοριών και η προληπτική αναζήτηση απειλών για την ανίχνευση και την εξάλειψη πιθανών κινδύνων του συστήματος αποτελεί σημαντικό καθήκον για τις μονάδες και τις επιχειρήσεις, ώστε να προστατεύουν τα συστήματά τους. Εικονογράφηση: K. Linh

Ωστόσο, στην πραγματικότητα, το Τμήμα Ασφάλειας Πληροφοριών και οι υπηρεσίες και οι μονάδες που δραστηριοποιούνται στον τομέα της ασφάλειας πληροφοριών εκδίδουν τακτικά προειδοποιήσεις σχετικά με νέα τρωτά σημεία ή νέες τάσεις επιθέσεων, αλλά πολλές υπηρεσίες και μονάδες δεν έχουν δώσει ιδιαίτερη προσοχή στην έγκαιρη ενημέρωση και αντιμετώπισή τους.

Μιλώντας για μια συγκεκριμένη περίπτωση υποστήριξης ενός οργανισμού που δέχθηκε επίθεση στα τέλη Μαρτίου, ο ειδικός Vu Ngoc Son, Τεχνικός Διευθυντής της NCS Company, δήλωσε: «Αφού αναλύσαμε, συνειδητοποιήσαμε ότι το περιστατικό έπρεπε να είχε αντιμετωπιστεί νωρίτερα, επειδή αυτός ο οργανισμός είχε προειδοποιηθεί ότι ο λογαριασμός του ρεσεψιονίστ είχε παραβιαστεί και έπρεπε να αντιμετωπιστεί άμεσα. Επειδή πίστευαν ότι ο λογαριασμός του ρεσεψιονίστ δεν ήταν σημαντικός, ο οργανισμός τον αγνόησε και δεν τον χειρίστηκε. Ο χάκερ χρησιμοποίησε τον λογαριασμό του ρεσεψιονίστ, εκμεταλλεύτηκε την ευπάθεια, πήρε δικαιώματα διαχειριστή και επιτέθηκε στο σύστημα».

Στατιστικά στοιχεία που κοινοποίησε το Τμήμα Ασφάλειας Πληροφοριών στο τέλος του περασμένου έτους έδειξαν ότι περισσότερο από το 70% των οργανισμών δεν έχουν δώσει προσοχή στην αναθεώρηση και τον χειρισμό ενημερώσεων και στην επιδιόρθωση τρωτών σημείων και αδυναμιών που έχουν προειδοποιηθεί.

Αντιμέτωπο με την παραπάνω κατάσταση, στις 6 ομάδες βασικών εργασιών που συνιστώνται για υπουργεία, παραρτήματα, τοπικές αρχές, υπηρεσίες, οργανισμούς και επιχειρήσεις να επικεντρωθούν στην εφαρμογή τους το 2024, το Τμήμα Ασφάλειας Πληροφοριών ζήτησε από τις μονάδες να δώσουν προτεραιότητα στην επίλυση πιθανών κινδύνων ή κινδύνων που υπάρχουν ήδη στο σύστημα.

«Οι μονάδες θα πρέπει να αντιμετωπίζουν τους γνωστούς και τους υπάρχοντες κινδύνους στο σύστημα προτού σκεφτούν να επενδύσουν για να προστατευτούν από νέους κινδύνους. Ο περιοδικός έλεγχος και η αξιολόγηση της ασφάλειας των πληροφοριών σύμφωνα με τους κανονισμούς και η αναζήτηση απειλών για την ανίχνευση και την εξάλειψη κινδύνων στο σύστημα είναι πολύ σημαντική και πρέπει να γίνεται τακτικά», τόνισε ο εκπρόσωπος του Τμήματος Ασφάλειας Πληροφοριών.

Το Υπουργείο Πληροφοριών και Επικοινωνιών θα δημιουργήσει μια πλατφόρμα για την υποστήριξη της έγκαιρης προειδοποίησης για κινδύνους ασφάλειας πληροφοριών . Η πλατφόρμα διαχείρισης, ανίχνευσης και έγκαιρης προειδοποίησης για κινδύνους ασφάλειας πληροφοριών, η οποία αναμένεται να δημιουργηθεί το 2024, θα ειδοποιεί αυτόματα τις υπηρεσίες και τους οργανισμούς σχετικά με κινδύνους, τρωτά σημεία και αδυναμίες στο σύστημα πληροφοριών της μονάδας.