Hrozba Kaseya a zranitelnost PrintNightmare. Jak proti nim zakročit?

Christopher Budd 9 Čvc 2021

Jak se bránit dvěma hrozbám naráz? Máme pro vás tři jednoduché tipy

Když už, tak už. Alespoň tuto frázi připomíná momentální situace, kdy se týmy bezpečnostních expertů snaží řešit hned dva problémy naráz, a to rozsáhlý ransomwarový útok zneužívající MSP platformu firmy Kaseya a zranitelnost PrintNightmare. Ne všichni však mají celé týmy, které se starají o zabezpečení zařízení. Pro menší firmy může být situace nepřehledná a matoucí. 

V tomto článku pro vás proto jednoduše shrneme, jak postupovat, abyste ochránili sebe a své firmy. 

  1. Pokud používáte Kaseyu VSA, tedy software pro správu sítí a systémů, odpojte své Kaseya VSA servery, jak radí i samotná společnost
  2. Co nejdříve nainstalujte novou bezpečnostní aktualizaci Microsoftu, jež opraví zranitelnost Print Spooleru, nazývanou také PrintNightmare. 
  3. Nadále sledujte nejnovější informace poskytnuté Kaseyou a Microsoftem, abyste nepřišli o nejnovější informace nebo další kroky, které společnosti doporučí provést. 

Stávající bezpečnostní situace může být velmi matoucí, jelikož probíhají dva útoky současně. Naštěstí se většinou stačí soustředit na tři jednoduché věci: pokud je využíváte, tak dočasně vypnout servery Kaseya VSA, dále nasadit aktualizaci Print Spooler Security Update od Microsoftu a  a dál sledovat informace od společností Kaseya a Microsoft. Těmito třemi kroky se nejlépe ochráníte před oběma těmito hrozbami,” shrnuje doporučené kroky odborník na globální online hrozby v Avastu Christopher Budd.

Odpojte Kaseya VSA servery

Kaseya vytváří software, který napomáhá při správě počítačů a serverů. Společnost zjistila už 2. července, že došlo k napadení jimi spravovaných zařízení ransomwarem. Těmto nepřímým útokům se říká útoky na dodavatelský řetězec. V nedávné době tomuto typu útoku padla za oběť například známá americká firma SolarWinds. 

Útok na řetězec je však o něco složitější, neboť koncoví zákazníci mohou používat servery Kaseya VSA, aniž by o tom věděli, protože jim služby spravuje jejich poskytovatel (MSP). Nemusejí si tedy být vědomi, že jsou vlastně zákazníky společnosti, a přesto mohou být útokem zasaženi.

Kaseya se snaží předejít rozšíření ransomwaru a svým zákazníkům předala jasné instrukce

Jesliže využíváte servery Kaseya VSA, měli byste je dočasně odpojit.

Odpojením řetězec přerušíte. Odpojený server navíc nemůže kyberzločinec napadnout. Můžete tím tak zcela zamezit rozšíření ransomwaru v dodavatelském řetězci Kaseya VSA do vašeho systému. 

Sami možná servery Kaseya VSA nemáte, ale pokud využíváte některého poskytovatele spravovaných služeb, může je využívat on. V takovém případě pro jistotu svého poskytovatele kontaktujte a ověřte si, že o nejnovějším vývoji situace ví, zjistěte si, jak postupuje a co můžete pro svou bezpečnost udělat vy. 

Společnost Kaseya uvedla, že odpojení serverů je dočasným krokem k ochraně zákazníků, zatímco firma proti útoku aktivně zasahuje. Po dokončení vyšetřování a nápravě Kaseya zákazníky upozorní, že mohou své servery opět zapnout. 

Nainstalujte nejnovější bezpečnostní aktualizaci Print Spooler Security Update od Microsoftu. 

Prvního července vyšlo najevo, že všechny verze systému Windows obsahují slabé místo v zabezpečení služby Print Spooler. Ta zajišťuje správné formátování, zasílání i správu tisku ve Windows a běží v systému automaticky. Kdyby se útočníkovi povedlo chybu úspěšně zneužít, mohl by převzít kontrolu nad celým systémem. To je zvlášť nebezpečné pro řadiče domény, kde by útok mohl mít za následek ovládnutí celé sítě, ne jen jediného systému. 

Před dvěma dny však Microsoft chybu opravil pomocí mimořádné bezpečnostní aktualizace. Ta je dostupná i pro starší verze systému Windows, jichž se aktualizace už obvykle netýkají. 

Postup je tedy jasný: Nainstalujte co nejdříve nejnovější bezpečnostní aktualizaci.

Jestliže stále používáte starou verzi Windows, tedy například Windows 7, doporučujeme přemigrovat na novější verze systému hned poté, co novou aktualizaci nainstalujete. Starší nepodporované verze systému jsou pro kyberzločince snadným terčem, protože často mívají celou řadu bezpečnostních zranitelností. 

Prozatím naštěstí nevíme o žádném rozsáhlém útoku, který by zranitelnost zneužíval. 

Situaci i nadále sledujeme (a vy byste měli také), abychom vám poskytli ty nejnovější informace. 

O obou hrozbách, o útoku zneužívajícím MSP platformu firmy Kaseya VSA i zranitelnosti PrintNightmare,  přibývají nové informace každým dnem. Například Kaseya už v tuto chvíli svým zákazníkům vzkázala, že se mohou připravit na opětovné zapojení svých serverů. 

Podobně je to v případě zranitelnosti Windows Print Spooleru, kdy nová bezpečnostní aktualizace sice vyšla, to ale neznamená, že se situace ještě nezmění a nebude třeba vydat další aktualizaci. 

Proto i po provedení všech těchto kroků, nadále sledujte webové stránky Microsoftu a Kaseyi. 

Obě hrozby budeme nadále sledovat. Nejnovější informace najdete na našem blogu a facebookové stránce, tak nás nezapomeňte sledovat. 

--> -->