Bản cập nhật Windows KB5012170 gây ra màn hình khôi phục BitLocker, sự cố khởi động

Người dùng Windows đã cài đặt bản cập nhật bảo mật KB5012170 mới cho Khởi động an toàn đã gặp phải nhiều vấn đề khác nhau, từ lỗi khởi động với lời nhắc Khôi phục BitLocker đến các vấn đề về hiệu suất.

Bộ nạp khởi động UEFI tải ngay sau khi thiết bị được khởi động và chịu trách nhiệm khởi chạy môi trường UEFI với tính năng Khởi động an toàn để chỉ cho phép mã tin cậy được thực thi khi bắt đầu quá trình khởi động Windows.

Trong bản vá thứ ba tháng 8 năm 2022, Microsoft đã phát hành KB5012170 ‘Bản cập nhật bảo mật cho Secure Boot DBX’ độc lập để giải quyết các lỗ hổng được tìm thấy trong các bộ nạp khởi động UEFI khác nhau mà các tác nhân đe dọa có thể sử dụng để bỏ qua tính năng Khởi động Bảo mật của Windows và thực thi mã chưa được ký.

Microsoft: Máy chủ Exchange bị tấn công để triển khai ransomware BlackCat

Máy chủ Microsoft Exchange đang là mục tiêu của những kẻ phát tán phần mềm BlackCat Ransomware và có thông tin cho thấy tin tặc đang khai thác các lỗ hổng chưa được vá trên hệ thống để tạo ra phần mềm độc hại mã hóa tệp nói trên.

Người ta đã quan sát thấy rằng trong hơn hai trường hợp, tin tặc có thể đánh cắp thông tin đăng nhập và thông tin chuyển tiếp đến các máy chủ từ xa, để sử dụng dữ liệu đó cho việc tống tiền kép.

Tin tặc đầu tiên tấn công máy chủ nạn nhân trên một ghi chú ban đầu và sau đó được nhìn thấy đang triển khai các tải trọng BlackCat Ransomware trên toàn mạng thông qua PsExec.

Quy trình tấn công như sau:

Microsoft đã lưu ý về tình hình và nghi ngờ rằng các vụ tấn công đang được thực hiện bởi một băng nhóm có liên quan đến ransomware như một hoạt động dịch vụ và đang yêu cầu tất cả các máy chủ trao đổi của họ tuân theo một lời khuyên được đưa ra vào ngày 14 tháng 3 để giảm thiểu các cuộc tấn công ProxyLogon.

Một trong số chúng, một nhóm tội phạm mạng có động cơ tài chính được theo dõi là FIN12, được biết đến với việc triển khai Ryuk, Conti và Hive ransomware trước đây trong các cuộc tấn công chủ yếu nhắm vào các tổ chức chăm sóc sức khỏe.

Công ty công nghệ này đang kêu gọi các tổ chức sử dụng một giải pháp toàn diện như Microsoft 365 Defender của riêng mình để bảo vệ các rủi ro liên quan đến các cuộc tấn công và đã đưa ra lời khuyên chi tiết để hạn chế các vấn đề phát sinh từ các cuộc tấn công mạng.

LƯU Ý- Các phiên bản Ransomware của BlackCat đang hoạt động trên cả phiên bản Windows và Linux và trong môi trường của VMware ESXi. Kể từ năm 2021, phần mềm độc hại mã hóa tệp tin còn được gọi là ransomware ALPHV đã được nhìn thấy yêu cầu 5 triệu đô la từ các nạn nhân của nó.

Phương Nguyễn dịch

Nguồn https://www.cybersecurity-insiders.com/blackcat-ransomware-is-being-induced-into-microsoft-exchange-servers

Zero-day vulnerabilities on Windows Server 2016

Zero-day vulnerabilities on Windows Server 2016 CVE-2022-26925

Thông tin bảo mật 10/05/2022 CVE-2022-26925
CVE-2022-26925 – Lỗ hổng giả mạo Windows LSA (Windows LSA Spoofing Vulnerability) là một lỗ hổng nghiêm trọng vì nó đang bị các tác nhân đe dọa khai thác. Nó có điểm CVSS là 8,1. Mức độ phức tạp của cuộc tấn công là Cao vì lỗ hổng đã được xếp hạng với mức độ phức tạp AC: H. Cùng với các cuộc tấn công chuyển tiếp NTLM trên các dịch vụ chứng chỉ Active Directory (AD CS), lỗ hổng giả mạo LSA có nguy cơ tương đương với lỗ hổng nghiêm trọng CVSS 9.8.

Cơ chế: Kẻ tấn công chưa được xác thực có thể gọi một phương thức trên giao diện LSARPC và ép buộc Domain controller xác thực với kẻ tấn công bằng NTLM. Bản cập nhật bảo mật này phát hiện các nỗ lực kết nối ẩn danh trong LSARPC và không cho phép chúng

Hệ quả là các tài khoản người dùng trong hệ thống domain controller bị giả mạo logon vào Domain controller mà không đúng password, gây ra tình trạng chứng thực sai và bị block tài khoản không thể đăng nhập vào email hoặc logon máy tính.

CVE-2022-26925 được biết đến là 1 phần của lỗ hỏng PetitPotam trên Windows Server và Domain Controller

Cập nhật các bản vá Windows Server
KB5013952=> Windows Server 2016
KB5013941=> Windows Server 2019
KB5013944=> Windows Server 2022

Phương Nguyễn Dịch

Một số cách bảo mật NAS Sysnology 7.0-7.1 trở lên

Bài viết này Phương Nguyễn hướng dẫn các bạn system admin cấu hình bảo mật cho các thiết bị NAS Sysnology phiên bản 7.0 trở lên nhé. Vì những ưu việc tính năng vượt trội của DSM 7.0-7.1 về bảo mật hệ thống cho NAS chống các rủi ro bảo mật hệ thống NAS mà Sysnology mang lại. Bạn nào chưa update thì update ngay nhé. Xem bài viết hướng dẫn update tại đây.

Bảo mật chung-General

Vào control panel-> Chọn security-> General.

  • Hẹn giờ đăng xuất (phút): Người dùng sẽ tự động đăng xuất khỏi DSM nếu họ không hoạt động trong khoảng thời gian được chỉ định tại đây. Nhập bất kỳ giá trị nào từ 1 đến 65535.
  • Tăng cường khả năng tương thích của trình duyệt bằng cách bỏ qua kiểm tra IP: Nếu bạn truy cập NAS Synology thông qua proxy HTTP và gặp phải các lần đăng xuất ngẫu nhiên, bạn có thể bật tùy chọn này để bỏ qua kiểm tra IP.
  • Cải thiện khả năng bảo vệ chống lại các cuộc tấn công giả mạo yêu cầu trên nhiều trang web: Tùy chọn này tăng cường khả năng bảo vệ của hệ thống chống lại các cuộc tấn công tạo kịch bản trên nhiều trang web. Tùy chọn này sẽ có hiệu lực vào lần tiếp theo bạn đăng nhập vào DSM.
  • Cải thiện bảo mật với tiêu đề Chính sách bảo mật nội dung HTTP (CSP): Tùy chọn này tăng cường bảo mật của hệ thống chống lại các cuộc tấn công tập lệnh xuyên trang (XSS) bằng cách chỉ cho phép dữ liệu từ các nguồn đáng tin cậy và hạn chế thực thi tập lệnh nội tuyến.
  • Không cho phép nhúng DSM với iFrame: Bạn có thể bật tùy chọn này để hạn chế các trang web khác nhúng DSM vào các trang web khác với iFrame, do đó ngăn chặn một số kiểu tấn công từ các trang web độc hại. Để cho phép các trang web cụ thể nhúng DSM với iFrame, hãy nhấp vào Trang web được phép, thêm trang web, đi tới Bảng điều khiển> Cổng đăng nhập> DSM> Miền, thiết lập miền tùy chỉnh và đánh dấu vào Bật HSTS buộc trình duyệt sử dụng kết nối bảo mật. Đảm bảo rằng NAS Synology của bạn có chứng chỉ hợp lệ.
  • Xóa tất cả các phiên đăng nhập của người dùng đã lưu khi khởi động lại hệ thống: Tùy chọn này ngăn các lỗi hệ thống không mong muốn xảy ra nếu người dùng vẫn đăng nhập và thực hiện các thao tác trên hệ thống trong khi hệ thống đang sẵn sàng. Với tùy chọn này được bật, tất cả người dùng sẽ cần đăng nhập lại sau khi hệ thống khởi động lại.
  • Hiển thị thông báo trên màn hình DSM khi IP hiện tại thay đổi: Khi IP của người dùng hiện đang kết nối thay đổi, hãy gửi thông báo trên màn hình cho người dùng đó.
  • Trust Proxy: có thể đưa vào danh sách list các IP tin tưởng proxy.

Tài khoản-Account

Cần phải đặt mật khẩu phức tạp và bật tính năng xác thực 2 bước 2FA kết hợp với approve sign khi đăng nhập vào quản trị DSM (OTP hoặc HSM)

Tường lửa-Firewall

Cần phải bật tường lửa và cấu hình chính sách truy cập và cho phép dịch vụ nào ip nào truy cập NAS có thể hiểu như 1 Acclist truy cập.

Bảo vệ -Protection

Định nghĩa thời gian truy cập và khóa theo IP có thể cho phép đưa blocklist IP network ip cũng như allow network nào.

Và bật DDOS Protection.

Nâng cao- Advances

Một số thiết lập bảo mật nâng cao khác.

Phương Nguyễn biên soạn