דירוג

ב-12 לחודש פרסמה מיקרוסופט כ-83 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 10 פגיעויות מסווגות כקריטיות. פגיעות אחת, במנוע ה-AV Windows Defender, מנוצלת בפועל לתקיפות בעולם (Zero Day).הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).בתוכנת Sharepoint קיימת פגיעות המאפשרת הרצת קוד מרחוק.מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.

פרטים

1. המוצרים להם פורסמו עדכוני אבטחה הם:
   • Microsoft Windows
   • Microsoft Edge (EdgeHTML-based)
   • Microsoft Office and Microsoft Office Services and Web Apps
   • Microsoft Windows Codecs Library
   • Visual Studio
   • SQL Server
   • Microsoft Malware Protection Engine
   • .NET Core
   • .NET Repository
   • ASP .NET
   • Azure
2. תשומת לב כי לחלק מן העדכונים בקישור הנ"ל קיימת הפניה לפרטים נוספים וחלקם עשויים לדרוש ביצוע פעולות נוספות מעבר להתקנת העדכון עצמו. כמו כן הקישור מכיל מידע לגבי בעיות מוכרות בעדכוני אבטחה אלו.
3. פירוט כלל העדכונים לחודש זה ניתן למצוא כאן.
4. אם אינכם מתקינים עדכון אבטחה מצטבר (Cumulative) אלא בוחרים פרטנית אילו עדכונים להטמיע, מומלץ לתעדף את בדיקת והתקנת העדכונים המסומנים כקריטיים בקישור הנ"ל, או מסומנים כ-"More Likely" תחת העמודה Exploitability, או מאפשרים הרצת קוד מרחוק (Remote Code Execution).
5. מומלץ לתעדף בחינת והתקנת העדכונים לפגיעויות הבאות:
   • CVE-2021-1647 – פגיעות במנוע ה-AV Windows Defender המנוצלת בפועל על ידי תוקפים בעולם. כברירת מחדל, תוכנה זו מעודכנת באופן אוטומטי. מומלץ לוודא כי גרסת התוכנה המותקנת במערכותיכם הינה 1.1.17700.4 לפחות. הנחיות כיצד לבדוק מהי הגרסה המותקנת ניתן למצוא בקישור https://support.microsoft.com/kb/2510781.
   • 9 פגיעויות בפרוטוקול RPC אשר עלולות לאפשר למשתמש מזוהה (Authenticated) הרצת קוד מרחוק על השרת או העמדה. פגיעות נוספת עלולה לאפשר העלאת הרשאות.
   • CVE-2021-1648 – פגיעות בממשק ההדפסה שפרטיה פורסמו בעבר ונוצלה להעלאת הרשאות. פגיעות נוספת בממשק ההדפסה עלולה גם היא לאפשר העלאת הרשאות.
   • CVE-2021-1665 – פגיעות ברכיב הגרפיקה עלולה לאפשר הרצת קוד מרחוק.
   • 2 פגיעויות בתוסף וידאו HEVC עלולות לאפשר הרצת קוד מרחוק. תוסף זה נרכש דרך החנות המקוונת Microsoft Store, ואמור להתעדכן אוטומטית. הנחיות כיצד לוודא מהי הגרסה המותקנת וכיצד לעדכן ניתן למצוא בקישור https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1643.
   • CVE-2021-1668 – פגיעות ברכיב הפענוח של DTV-DVD עלולה לאפשר הרצת קוד מרחוק.
   • 2 פגיעויות במנוע הוירטואליזציה Hyper-V עלולות לאפשר מתקפת מניעת שירות. פגיעות נוספת עלולה לאפשר העלאת הרשאות.
   • פגיעות בדפדפן Edge (בגרסאות המבוססות על EdgeHTML) עלולה לגרום שיבוש בניהול הזיכרון וייתכן אף לאפשר הרצת קוד מרחוק.
   • פגיעויות שונות בתוכנות Word, Excel ו-Office עלולות לאפשר הרצת קוד מרחוק.
   • פגיעויות שונות בשרתי SharePoint עלולות לאפשר הרצת קוד מרחוק, העלאת הרשאות, Tampering ו-Spoofing (התחזות).
   • CVE-2021-1636 – פגיעות בשרת MSSQL עלולה לאפשר למשתמש מזוהה ומרוחק לבצע העלאת הרשאות אם הקישור הינו מסוג Extended Event session.
   • CVE-2021-1710 – פגיעות ברכיב המדיה עלולה לאפשר לתוקף הרצת קוד מרחוק.
   • CVE-2021-1678 – פגיעות בפרוטוקול NTLM עלולה לאפשר לתוקף מעקף של מנגנון אבטחה.
   • CVE-2020-26870 – פגיעות ברכיב תוכנה חינמי בשם Cure53 DOMPurify הכלול בתוכנת Visual Studio עלול לאפשר הרצת קוד מרחוק.
   • מספר פגיעויות ברכיב BlueTooth עלולות לאפשר מעקף של מנגנון אבטחה.
   • פגיעות בשירות CryptoAPI עלולה לאפשר מתקפת מניעת שירות לתוקף מרוחק ובלתי-מזוהה.
   • פגיעות ברכיב Fax Compose Form עלולה לאפשר הרצת קוד מרחוק.
   • פגיעות בשירות Docker עלולה לאפשר דלף מידע רגיש.
   • CVE-2021-1669/1674- 2 פגיעויות בפרוטוקול RDP (בשרת ובקליינט) עלולות לאפשר מעקף של אמצעי אבטחה.
   • פגיעות ב-Azure Active Directory pod Identity עלולה לאפשר התחזות. תיקון הפגיעות למשתמשים קיימים מחייב לא רק התקנת העדכון אלא פריסה מחדש של ה-Cluster באמצעות Azure CNI במקום Kubernet. פרטים נוספים בקישור https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1677.
   • פגיעות ב- ASP.NET עלולה לאפשר מתקפת מניעת שירות.
   • פגיעויות בשירותים Event Logging ו-Event Tracing עלולות לאפשר העלאת הרשאות.
   • CVE-2021-1682 – פגיעות ב-Kernel עלולה לאפשר העלאת הרשאות.
   • פגיעויות ב-Installer ו-Install Service עלולות לאפשר העלאת הרשאות.
   • פגיעות בשירות LUAFV עלולה לאפשר העלאת הרשאות.
   • פגיעות ברכיב Multipoint Management עלולה לאפשר העלאת הרשאות.
   • פגיעויות ב-Runtime C++ Template Library וב-Active Template Library עלולות לאפשר העלאת הרשאות.
   • פגיעות בשירות WLAN עלולה לאפשר העלאת הרשאות.
   • פגיעות ב-Update Stack עלולה לאפשר העלאת הרשאות.
   • פגיעויות בשירות WalletService עלולות לאפשר העלאת הרשאות.
   • פגיעויות ב-AppX Deployment Extensions עלולות לאפשר העלאת הרשאות.
   • פגיעויות בשירות Diagnostics Hub Standard Collector עלולות לאפשר העלאת הרשאות.
   • מספר פגיעויות בשירות CSC (Client Side Cache) עלולות לאפשר העלאת הרשאות.
6. תזכורת חשובה: בחודש הקרוב, פברואר 2021, ייכנסו לתוקף שינויים שביצעה מיקרוסופט כמענה לשתי פגיעויות שפורסמו בעבר:
   • הפגיעות הראשונה היא CVE-2020-1472 המוכרת גם כ-ZeroLogon. פרטים על פגיעות זו ועל המענה לה ניתן למצוא בפרסום מערך הסייבר הלאומי https://www.gov.il/he/departments/publications/reports/zerologon_update.
   • פגיעות בשירות Kerberos המזוהה כ-CVE-2020-16996. הנחיות כיצד להיערך לשינוי זה ניתן למצוא בקישור https://support.microsoft.com/en-us/help/4577252/managing-deployment-of-rbcd-protected-user-changes-for-cve-2020-16996.

דרכי התמודדות

1. משתמשים פרטיים עם מערכות נתמכות – מומלץ להשתמש בהקדם האפשרי בממשק העדכון האוטומטי של מערכת ההפעלה על מנת לעדכן את מערכותיכם ("בדוק אם קיימים עדכונים", בממשק הניהול).
2. משתמשים ארגוניים – מומלץ לבחון בסביבת ניסוי את התאמת העדכונים למערכותיכם, ולהתקינם בהקדם האפשרי.
3. מצורף קובץ Excel עם פירוט הפגיעויות בחלוקה למשפחות מוצרים, מקור – אתר העדכונים של החברה.

לכל מידע נוסף ניתן לפנות אלינו. במידה שעלו ממצאים בבדיקתכם, נבקש לקבל היזון חוזר.

שיתוף מידע עם ה-CERT הלאומי אינו מחליף חובת דיווח לגוף מנחה כלשהו, ככל שחלה על הגוף חובה כזו. המידע נמסר כפי שהוא (as is), השימוש בו הוא באחריות המשתמש ומומלץ להיעזר באיש מקצוע בעל הכשרה מתאימה לצורך הטמעתו.

לכתבה במערך הסייבר לחצו כאן >>

דירוג

סיכום אירועי סייבר מרכזיים לשנת 2020:

ינואר:

🔹 הרשת של חברת Travelex מותקפת בווירוס שגורם להשבתה של כלל שירותי החברה.

🔹 רשת בתי ספר Manor שבטקסס נופלים קרבן למתקפת פישינג מוצלחת ומשלמים (בטעות) לתוקפים 2.3 מיליון דולר.

🔹 30 מיליון כרטיסי אשראי של לקוחות רשת תחנות הדלק Wawa מוצעים למכירה.

פברואר:

🔹 רשת אסתי לאודר מדווחת כי 440 מיליון רשומות פנימיות נגנבו במתקפת סייבר.

🔹 הגוף האחראי על אבטחת הנתונים בבית הלבן מעדכן כי נגנבו נתונים אישיים של כ-8k עובדים.

🔹 כל מאגר הלקוחות של חברת Clearview נגנב במתקפת סייבר.

מרץ:

🔹 האקר פורץ לחברת T-mobile ומשיג גישה למידע רגיש של לקוחות.

🔹 רשת בתי המלון מריוט מדווחת כי האקר פרץ לשרתי החברה וגנב נתונים של 5.2 מיליון לקוחות.

🔹 מידע מזוהה רגיש בנפח של 425GB דולף מאפליקציית MCA Wizard.

אפריל:

🔹 מתקפת סייבר על מתקני מים בישראל, איראן לוקחת אחריות.

🔹 פרצת אבטחה בחברת Annatel חשפה מידע רגיש של לקוחות.

🔹 מידע של כ-160k משתמשי נינטנדו נגנב במתקפת סייבר.

🔹 מידע של כ-600k משתמשי Email it נגנב והוצע למכירה ברשת.

מאי:

🔹 מתקפת סייבר מאיראן משתקת אתרי אינטרנט רבים בישראל

🔹 מתקפת סייבר על חברת EasyJet, פרטים רגישים של כצ9 מיליון לקוחות נחשפים.

🔹 מתקפת סייבר משתקת את הנמל באיראן.

🔹 ספקית שירותי הענן Blackbaud משלמת את דמי הכופר להאקרים שפרצו לחברה והדליפו פרטים של לקוחות.

🔹 חברת Toll Group מותקפת במתקפת כופרה בפעם השניה תוך 3 חודשים.

🔹 פרטים של 40 מיליון משתמשי אפליקציית Wishbone מודלפים ברשת.

יוני:

🔹 חברת סאפיינס מותקפת במתקפת כופרה, מערך המחשוב הושבת והחברה משלמת רבע מיליון דולר דמי כופר.

🔹 אוניברסיטת קליפורניה משלמת 1.14 מיליון דולר דמי כופר בכדי לקבל חזרה מידע השייך למחקר הקורונה.

🔹 אמזון מדווחת על בלימה מוצלחת של מתקפת Ddos בנפח 2.3Tb/s.

🔹 עובד בבנק הדרום אפריקאי Postbank גנב מפתח הצפנה ניגש למספרי אשראי של לקוחות וגנב מיליוני דולרים.

יולי:

🔹 מתקפת סייבר על מתקן גרעין באיראן גורמת לפיצוץ במתקן.

🔹 חברת גרמין מושבתת בשל מתקפת כופרה ומשלמת את דמי הכופר בסך מיליוני דולרים כדי לחזור לפעילות.

🔹 חברת האנרגיה EDP מותקפת ע"י האקרים שדורשים 10 מיליון דולר דמי כופר.

🔹 23 אלף שרתי MongoDB שהיו חשופים אונליין הותקפו במתקפת כופרה, דמי הכופר עמדו על 140$ לשרת.

אוגוסט:

🔹 מתקפת סייבר על חברת Canon, החברה מסרבת לשלם את דמי הכופר ומידע רגיש מפורסם אונליין

🔹 מתקפת כופר על אוניברסיטת יוטה שמשלמת דמי כופר של חצי מיליון דולר.

🔹 מתקפת כופר על חברת הקרוזים קרניבל, מידע של לקוחות מפורסם אונליין.

🔹 מידע רגיש של חברת Intel מפורסם אונליין.

🔹 מידע של 8.3 מיליון משתמשי האתר FreePik נגנב במתקפת Sql injection.

🔹 מידע השייך לחברות LG ו-Xerox מפורסם אונליין לאחר מתקפת כופרה וסירוב מצד החברות לשלם דמי כופר.

ספטמבר:

🔹 מתקפת כופר על חברת טאואר הישראלית שמשלמת לבסוף מיליוני דולרים דמי כופר.

🔹 מתקפת כופר על בתי ספר ב-Nevada, מידע על תלמידים מפורסם אונליין לאחר סירוב תשלום דמי הכופר.

🔹 אישה בגרמניה נפטרה לאחר שבית החולים אליו פונתה לא היה פנוי לקבל מטופלים בשל מתקפת סייבר.

🔹 בנק BancoEstado שבצ'ילה סוגר את כל הסניפים בשל מתקפת כופר.

אוקטובר:

🔹 מתקפת כופרה על רשת הספרים Barnes&Noble משבשת את פעילות החברה.

🔹 מידע של חברת Ubisoft מפורסם אונליין לאחר מתקפת כופר

🔹 קבוצת Pay2Key תוקפת את אינטר תעשיות ומפרסמת מידע רגיש, לפי הדיווחים החברה משלמת כ-100k$ דמי כופר.

🔹חברת ה-IT הצרפתית Sopra Steria חווה מתקפת כופר שנמשכת למעלה מחודש ומוערכת בהוצאה של כ-60 מיליון דולר

🔹 מתקפת כופרה על חברת Vastaamo ,המספקת שירותי פסיכותרפיה, דמי הכופר עומדים על חצי מיליון יורו, מנכ"ל החברה פוטר.

🔹חברת האנרגיה Enel מותקפת בפעם השניה השנה במתקפת כופרה, סכום הכופר בפעם השניה עומד על 14 מיליון דולר.

🔹 האקרים גונבים קוד מקור של מערכות שונות מארגונים ומשרדי ממשלה דרך מערכת SonarQube

🔹 קבוצת התקיפה Maze מודיעה על הפסקת פעילות, הקבוצה אחראית לעשרות מתקפות כופרה וגרפה לכיסה כ-100 דולר.

🔹 מתקפת כופרה על המרכז הרפואי בוורמונט שלא מצליח להתאושש גם לאחר חודשיים, עלול נזק משוערת – 1.5 מיליון דולר ליום.

נובמבר:

🔹 מתקפת כופרה על מועדון הכדורגל של מנצ'סטר יונייטד.

🔹 עשרות עסקים וארגונים בישראל הותקפו במתקפת כופרה המיוחסת לקבוצת Pay2Key.

🔹 מתקפת כופרה על חברת המשקאות האיטלקית CAMPARI שמסרבת לשלם את דמי הכופר.

🔹 מתקפת כופר על חברת Capcom, התוקפים גונבים מידע רגיש של מאות אלפי לקוחות, החברה מחליטה שלא לשלם את דמי הכופר.

דצמבר:

🔹 מתקפת סייבר על חברת הביטוח שירביט, קבוצת BlackShadow מפרסמת מידע רגיש של אזרחים.

🔹 רשת בתי ספר באלבמה מושבתת בשל מתקפת כופרה.

🔹 2 עובדים מחברת Leonardo S.p.A, העוסקת בייצור ציוד צבאי, מואשמים בהפצת נוזקה וגניבת מידע רגיש מרשת החברה.

🔹 ענקית ייצור הרכיבים האלקטרוניים Foxconn חווה מתקפת כופרה, דמי הכופר עומדים על 34 מיליון דולר.

🔹 5 שנות מאסר נגזרו בצרפת על ההאקר אלכסנדר ויניק המואשם בהפצת נוזקה, גניבת כספים והלבנת הון.

🔹 מתקפת סייבר רחבה על חברת SolarWinds מובילה את ההאקרים לעשרות חברות ענק וארגונים בעולם, בין הארגונים שנפגעו: FireEye, Cisco, Microsoft, משרדי ממשלה בארה"ב ועוד.

🔹 מתקפת סייבר על חברת עמיטל מובילה את התוקפים לארגונים נוספים בישראל.

🔹 קבוצת Pay2Key מפרסמת מידע רגיש של חברת הבאנה לאבס שבבעלות אינטל.

🔹 קבוצת Pay2Key מפרסמת מידע משרתי חברת" אלתא-התעשייה האווירית"

🔹 קבוצת Pay2Key מפרסמת מידע משרתי חברת Portnox.

🔹 בורסת הקריפטו הרוסית Livecoin מושבתת לאחר מתקפת סייבר וגניבת מטבעות דיגיטליים.

🔹 מידע רפואי רגיש נגנב במתקפת כופרה על חברת Transform Hospital Group.