„Děravé“ Windows a ransomware - iKomplet

„Děravé“ Windows a ransomware

„DĚRAVÉ“ WINDOWS

Microsoft vydal varování před kritickou zranitelností nacházející se ve všech verzích Windows od Windows 7 až po Windows 10, včetně serverových verzí. Chyba navíc umožňuje, aby se vir šířil samovolně mezi počítači, firma tedy nabádá ke stažení bezpečnostní záplaty.

O jaké chyby se jedná?

Konkrétně se jedná o dvě chyby Remote Code Execution (RCE) označené jako CVE-2019-1182 a CVE-2019-1181 v rámci Remote Desktop Services, které odhalil přímo Microsoft. Zranitelnosti jsou hlavně nebezpečné v tom, že umožňují šíření mezi počítači bez jakékoliv interakce uživatele. Po úspěšném zasažení počítače může útočník spustit libovolný kód, může tak mazat či měnit data a instalovat další programy, případně vytvářet další uživatelské účty s plným oprávněním.

Kterých verzí Windows se to týká?

Zasažené jsou Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 a všechny podporované verze Windows 10 včetně těch serverových. Windows XP a starší Windows Server 2003 a 2008 nejsou zasaženy.

Jak to spravit?

Záplaty stahujte skrze Windows Update či ze stránek Microsoftu. Pokud máte zapnuté automatické aktualizace, měli byste mít záplatu již staženou.

 

RANSOMWARE JE STÁLE AKTUÁLNÍ HROZBOU

Po velkých kampaních z roku 2017 se pojem ransomware nevyskytuje s takovou frekvencí, nicméně tato hrozba je stále aktuální a velmi aktivní.

Co je to ransomware?

Ransomware je druh škodlivého programu, který po nakažení počítače zašifruje přítomné soubory nebo části disku s cílem způsobit škodu uživateli. Od oběti potom požaduje výkupné („ransom“) za poskytnutí klíče pro dešifrování souborů.

Ransomware kromě lokálních souborů cílí i na připojené disky, což je problematické zejména v případě, kdy jsou tyto disky používány pro zálohování. Aby zamezil možnosti obnovení zašifrovaných souborů, maže také tzv. stínové kopie („Shadow Copies“).

Jak se k vám ransomware dostane?

Ransomware se nejčastěji šíří prostřednictvím e-mailových příloh, obvykle se jedná o dokumenty Microsoft Office. Pro stažení a spuštění ransomwaru jsou využívána makra v těchto dokumentech v kombinaci se sociálním inženýrstvím, které má za cíl přesvědčit oběť k povolení zmíněných maker. Další způsob, jakým ransomware může napadnout počítač, je pomocí Služby vzdálené plochy a to zejména v případě, kdy není využito dostatečně silné heslo pro přihlášení.

Seznam způsobů šíření není kompletní, ale tyto způsoby jsou nejčastější.

Jak se před ransomware bránit?

Nejúčinnější obranou před ransomwarem je prevence ve formě pravidelných a otestovaných záloh systému, které nejsou online dostupné (aby nedošlo k jejich zašifrování po nákaze).

Mezi další možnosti, jak se bránit, patří:

  • Udržovat aktuální antivirový software včetně pravidelných aktualizací signatur.
  • Poučit uživatele o této hrozbě a zdůraznit obezřetnost při práci s e-maily.
  • Opatrně zacházet s makry v Microsoft Office dokumentech. Doporučujeme makra nepovolovat, pokud to není bezpodmínečně nutné.
  • Zabezpečit Službu vzdálené plochy. Doporučujeme tuto službu zakázat, pokud není vyžadována. Tam, kde ji není možné zakázat, vynutit silná hesla a využívat dvoufaktorovou autentizaci, z veřejné sítě přistupovat prostřednictvím VPN. Silné heslo je vhodné doplnit mechanismem, který znemožní provedení útoku na heslo (hádání hrubou silou nebo slovníkový útok), např. nastavením „Account Lockout Policy“.
  • Zamyslet se nad tím, zda se zaměstnanci na firemní servery připojují z vlastních NB či PC a zda na nich mají antivir a jestli vám nemohou nechtěně zavirovat při vzdáleném připojení firemní servery.
  • Samozřejmě v neposlední řadě udržovat systémy a software aktuální.

 

Zálohujete svůj HELIOS?

Můžete v případě potřeby (např. havárie systému) data ze zálohy obnovit?