Microsoft brengt Intel microcode-update uit voor Windows 10

Microsoft geeft momenteel KB4558130 en KB4497165  uit voor respectievelijk Windows 10 2004 en Windows 10 1903 en 1903. De Intel microcode-updates zijn ontworpen om beveiligingsfouten in processors van Intel aan te pakken.

De updates verhelpen de volgende problemen:

  • CVE-2019-11091 – Micro architectural Data Sampling Uncacheable Memory (MDSUM)
  • CVE-2018-12126 – Micro architectural Store Buffer Data Sampling (MSBDS)
  • CVE-2018-12127 – Micro architectural Load Port Data Sampling (MLPDS)
  • CVE-2018-12130 – Micro architectural Fill Buffer Data Sampling (MFBDS)

Microsoft bracht de microcode-updates van Intel voor het eerst uit voor Windows 10-gebruikers in maart 2018, om de beveiliging te verbeteren voor degenen die Intel-hardware gebruiken. De microcode-updates boden ook oplossingen voor apparaten die CPU-patches van hardwarefabrikanten hadden moeten ontvangen.

Als u Windows 10 versie 2004 gebruikt, krijgt u KB4558130. Degenen die nog werken met versie 1909 of 1903, krijgen in plaats daarvan KB4497165.

Hier is de volledige lijst met microcode-updates voor alle versies van Windows 10.

  • KB4494174 voor versie 1809.
  • KB4494451 voor versie 1803.
  • KB4494452 voor versie 1709.
  • KB4494453 voor versie 1703.
  • KB4494175 voor versie 1607.
  • KB4494454 voor andere versies van Windows 10.

Microsoft somt tientallen Intel-CPU’s op waarvoor de microcode-update beschikbaar is, variërend van Ivy Bridge-CPU’s tot Intel’s nieuwste 9de generatie Core-processors. Microsoft merkt op dat deze updates zelfstandige updates zijn die gericht zijn op de respectievelijke versies van Windows 10. 

“Deze update bevat ook Intel microcode-updates die al waren uitgebracht voor deze besturingssystemen op het moment van Release to Manufacturing (RTM)”

Het is duidelijk dat het goed is om te zien dat dit soort updates door Microsoft worden uitgegeven wanneer er een nieuwe dreiging opduikt. Hoewel de beveiligingsupdates belangrijk zijn, hebben de microcode-updates van Intel in het verleden stabiliteitsproblemen veroorzaakt bij sommige oudere processors, waaronder een probleem dat gebruikers teisterde met het opnieuw opstarten van Windows.

U moet deze updates alleen installeren als ze worden aangeboden via Windows Update. Een gedwongen handmatige installatie wordt niet aanbevolen, zelfs niet als u denkt dat uw apparaat compatibel is.

De updates zijn gevalideerd door Intel en kunnen worden gedownload door te controleren op updates in Instellingen.

Een nieuwe functie van Windows Defender baart beveiligingsonderzoekers zorgen

Wat u moet weten

Een LoLBin is een binair bestand dat door het besturingssysteem wordt geleverd en dat normaal gesproken voor legitieme doeleinden wordt gebruikt, maar ook kan worden misbruikt door kwaadwillende actoren. Verschillende standaard systeem binaire bestanden hebben onverwachte bijwerkingen, waardoor aanvallers hun activiteiten na uitbuiting kunnen verbergen.

In één van de laatste updates van de Microsoft Defender-antivirusoplossing van Windows 10 stelt het ironisch genoeg in staat om malware en andere bestanden naar een Windows-computer te downloaden.

Legitieme besturingssysteembestanden die voor kwaadwillende doeleinden kunnen worden misbruikt, staan ​​bekend als binaire bestanden van het land of LOLBINS.

In deze update van Microsoft Defender is de opdrachtregelprogramma MpCmdRun.exe bijgewerkt met de mogelijkheid om bestanden te downloaden vanaf een externe locatie, die door aanvallers kunnen worden misbruikt.

Wat is MpCmdRun.exe?

Het echte MpCmdRun.exe- bestand is een softwarecomponent van Microsoft Malware Protection door Microsoft Corporatie . “MpCmdRun.exe” is het Microsoft Malware Protection Command Line Utility. Onder beheerdersrechten, het stelt command-line, parameter gecontroleerde aanroeping van de aldaar gevestigde Microsoft antimalware product van de computer (Windows Defender, Microsoft Security Client of Microsoft Security Essentials). 

Door middel van scripts of door directe opdrachtprompt van de console kan alles, van een enkel bestand tot het hele systeem, worden gescand, met herstelmaatregelen inbegrepen of uitgeschakeld. Het bevindt zich in “C: \ Program Files \ …\ MpCmdRun.exe, “(soms met een extra laatste sub-map genaamd” Anti-malware “), en kan niet worden verwijderd zonder het volledige antimalware product te verwijderen. Het bestond van Windows XP tot en met Windows 10. Sommige Microsoft-documentatie suggereert dat het automatisch uitschakelen van MSE of Windows Defender real-time bescherming wanneer antimalware van derden is geïnstalleerd, verhindert MpCmdRun.exe mogelijk niet om scans te starten. Microsoft Corporatie is in 2016 gerangschikt (naar omzet) als ’s werelds grootste softwaremaker, het werd in april 1975 opgericht door twee mannen, Paul Allen en Bill Gates.

MpCmdRun staat voor Microsoft M alware P rotection C o m man d – Run Utility

De .exe-extensie op een bestandsnaam geeft een exe- bestand aan dat kan worden geknipt. Uitvoerbare bestanden kunnen in sommige gevallen uw computer beschadigen. Lees daarom hieronder om zelf te beslissen of de MpCmdRun.exe op uw computer een Trojaans paard is dat u moet verwijderen of dat het een bestand is dat behoort tot het Windows- besturingssysteem of tot een vertrouwde applicatie.

Met deze nieuwe functie maakt Microsoft Defender nu deel uit van de lange lijst met Windows-programma’s die kunnen worden misbruikt door lokale aanvallers.

Microsoft Defender kan worden gebruikt als een LOLBIN

Ontdekt door een beveiligingsonderzoeker genaamd Mohammad Askar, bevat een recente update van de opdrachtregel hulpprogramma van Microsoft Defender nu een nieuw DownloadFileopdrachtregelargument.

Met deze instructie kan een lokale gebruiker het Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) gebruiken om een ​​bestand van een externe locatie te downloaden met behulp van de volgende opdracht:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Windows Defender heeft een nieuwe functie toegevoegd en beveiligingsonderzoekers zijn daar niet zo blij mee, aangezien het het aanvalsoppervlak van Windows heeft vergroot.

Versie 4.18.2007.9 of 4.18.2009.9 van de app heeft de mogelijkheid toegevoegd om bestanden te downloaden via de opdrachtregel met behulp van de app, bijv.

MpCmdRun.exe -DownloadFile -url [url] -pad [pad_naar_save_file]

Het kan nu worden gebruikt om een ​​binair bestand van internet te downloaden.

Bron: bleepingcomputer.com

Hoewel het op zichzelf geen exploit is, staat de functie een script toe dat de opdrachtregel kan starten om meer bestanden van internet te halen met behulp van native zogenaamde living-off-the-land binaries of LOLBINS.

Het toevoegen van de functie aan Windows Defender betekent dat er nog een app-beheerder in de gaten moet worden gehouden en een andere app die hackers kunnen misbruiken.

Gelukkig scant Windows Defender nog steeds de apps die het downloadt, maar dit is zeker niet onfeilbaar.

Een anti-5G USB-stick van €333 uit elkaar halen, oplichters misbruiken onterechte angst voor 5G

Dit nep 5G schild wordt op Internet door criminelen verkocht

Een apparaat dat meer dan € 333 kost, het belooft uw gezin tegen 5G te ‘beschermen’ met baanbrekende kwantumtechnologie, maar werkt het ook?

De uitrol van de nieuwe mobiele 5G netwerken begon pas afgelopen zomer in het England (GB) en heeft zich nog niet buiten de stedelijke gebieden gerealiseerd. Maar in het hele land is er al een huisnijverheid die bescherming biedt tegen de vermeende negatieve gevolgen voor de gezondheid, ook al zijn ze door regelgevers en reguliere wetenschappers afgewezen.

De 5 BioShield werd aanbevolen door een lid van de 5G Adviescommissie van de gemeente Glastonbury, die heeft verzocht om een ​​onderzoek naar 5G. Een van de negen externe leden, Toby Hall, zei: “We gebruiken dit apparaat en vinden het nuttig”, en gaven een link naar de website die het beschrijft als een USB-stick die “bescherming biedt voor uw huis en gezin, dankzij de draagbare holografische nanolaag katalysator, die kan worden gedragen of in de buurt van een smartphone of een ander apparaat dat elektrische, straling of EMF [elektromagnetische velden] uitzendt “kan worden geplaatst.

“Door middel van een kwantum oscillatie brengt de 5 BioShield USB-sleutel de storende frequenties die voortkomen uit de elektrische mist veroorzaakt door apparaten, zoals laptops, draadloze telefoons, wifi, tablets, enzovoort, in evenwicht en harmoniseert deze opnieuw”, voegt hij eraan toe.

Elk van deze USB-sleutels kost £ 339,60 inclusief btw, maar er is een speciale aanbieding van drie voor £ 958,80 zo’n €1065.99

Maar op het eerste gezicht lijkt het precies dat te zijn: een USB-stick met slechts 128 MB opslagruimte.

“Dus wat is het verschil tussen een vrijwel identieke ‘kristal’ USB-sleutel die verkrijgbaar is bij verschillende leveranciers in Shenzhen, China, voor ongeveer £ 5 of € 8 per sleutel?” vraagt ​​Ken Munro, wiens bedrijf, Pen Test Partners, gespecialiseerd is in het uit elkaar halen van elektronische consumentenproducten om kwetsbaarheden in de beveiliging op te sporen.

En het antwoord lijkt een ronde sticker te zijn.

“Nu, we zijn geen 5G kwantumexperts, maar die sticker lijkt opmerkelijk veel op een sticker die verkrijgbaar is in vellen van briefpapierleveranciers voor minder dan een cent per stuk”, zegt hij.

‘Tijdsdilatatie’

De heer Munro en zijn collega Phil Eveleigh gingen verder met het demonteren van de USB-sleutel om erachter te komen of er binnenin een knetterende elektronica zat.

Maar alles wat ze vonden was een LED-lampje op de printplaat, vergelijkbaar met die op een andere USB-sleutel. Een zoektocht in Companies House laat zien dat de twee directeuren van BioShield Distribution Anna Grochowalska en Valerio Laghezza zijn.

Beiden lijken eerder betrokken te zijn geweest bij een bedrijf genaamd Immortalis, dat een voedingssupplement verkoopt genaamd Klotho Formula.

De website, die qua ontwerp nogal lijkt op die van de BioShield, zegt dat Klotho Formula een “eigen procedure gebruikt die leidt tot relativistische tijdsdilatatie en biologische kwantumverstrengeling op DNA-niveau”.

‘Gevoelige informatie’

Mevrouw Grochowalska vertelde dat haar bedrijf de enige wereldwijde distributeur van de 5G BioShield was, maar dat het het product niet produceerde of in eigendom had.

5GBioShield USB-sleutel
Op het apparaat was een sticker geplakt die gemakkelijk te verwijderen was

“We zijn in het bezit van een heleboel technische informatie, met veel back-up historisch onderzoek,” zei ze.

“Zoals u begrijpt, zijn we om voor de hand liggende redenen niet bevoegd om al deze gevoelige informatie volledig bekend te maken aan derden.”

En ze verwierp de suggestie om een ​​product van £ 5 voor meer dan £ 300 te verkopen, onredelijk was.

“Met betrekking tot de kostenanalyse die uw onderzoek heeft opgeleverd, denk ik dat het gebrek aan diepgaande informatie u niet zal drijven tot de exacte berekening van onze uitgaven en productiekosten, inclusief de kosten van IP [intellectuele eigendomsrechten], en dus door, ‘zei ze.

“Het is daarom moeilijk om je evaluatie serieus te nemen, omdat je de achtergrondfeiten kennelijk niet op een zinvolle manier hebt onderzocht.”

‘Meer dromen’

De heer Hall zei dat zijn opmerkingen in het rapport van de 5G Adviescommissie van de gemeente Glastonbury niet mogen worden gezien als een aanbeveling om het product te kopen.

Uit elkaar getrokken USB-stick
Pen Test Partners hebben geen elektronica in de USB-stick gevonden die het als ongebruikelijk zou markeren

Maar hij had er geen spijt van dat hij hem had gekocht en sinds hij de stekker in het stopcontact had gestoken, had hij gunstige effecten gevoeld, waaronder ’s nachts kunnen slapen en meer dromen hebben.

‘Ik voelde ook rustiger in huis’ , vertelde hij.

En hij had gedacht dat het bedrijf mogelijk een systeem zou kunnen ontwikkelen dat de hele stad Glastonbury zou kunnen beschermen tegen de effecten van straling van elektromagnetische velden.

Bron BBC

Microsoft deelt nachtmerrie verhaal: 6 hackers op het netwerk van een klant

Microsoft onthult haar eerste rapport over incident response werk uitgevoerd door haar Detection and Response Team (DART).

Het eerste rapport van Microsoft Detection and Response Team (DART), die klanten helpt in diepe cyber problemen, de details van het geval van een grote klant met zes bedreigingen tegelijk op haar netwerk, met inbegrip van een door de staat gesponsorde hacker groep die bezig was met het stelen van gegevens en e-mail voor 243 dagen.

Het bedrijf kondigde DART in maart 2019 aan als onderdeel van de $1 miljard per jaar voor enterprise cybersecurity aangekondigd door CEO Satya Nadella in 2017.

Zonder het onthullen van namen van klanten, Microsoft is van plan om regelmatig updates over de activiteiten van Dart publiceren,om te illustreren hoe hackers werken.

Bron: Microsoft.com

Het eerste rapport beschrijft een geavanceerde persistent threat (APT) aanvaller die beheerdersreferenties stal om het netwerk van het doelwit binnen te dringen en gevoelige gegevens en e-mails te stelen.

Met name gebruikte de klant geen multi-factor authenticatie (MFA) ( meervoudige authenticatie ) , die de inbreuk had kunnen voorkomen. Microsoft onthulde vorige week dat 99,9% van de gecompromitteerde accounts geen MFA gebruikt en slechts 11% van de zakelijke accounts MFA gebruikt.

DART werd binnengebracht nadat een klant er niet in slaagde om één aanvaller, na 243 dagen, van zijn netwerk te schoppen, ondanks het feit dat een leverancier van de incidenten reactie zeven maanden eerder in dienst was. De aanvaller werd weggestuurd op de dag dat het team van Microsoft arriveerde. Het team ontdekte ook vijf andere bedreigingsgroepen die binnen het netwerk waren. In dit geval gebruikte de hoofdaanvaller een aanval met het sprayen (spuiten) van wachtwoorden om de Office 365 beheerdersreferenties van de klant te pakken te krijgen en van daaruit doorzocht hij de postvakken om meer referenties te vinden die onder werknemers in e-mails worden gedeeld. DART vond de aanvaller was op zoek naar intellectuele eigendom in bepaalde markten.

De aanvaller gebruikte zelfs de e-discovery en compliance tools van de klant om het zoeken naar relevante e-mails te automatiseren.

Volgens Microsoft, is in het netwerk van het bedrijf in de eerste maand van de aanval geprobeerd om de gecompromitteerde Office 365 account zelf te op te lossen, vervolgens haalde men een incident-response leverancier om, wat bleek te zijn, een langdurig onderzoek te doen.

“Dit onderzoek duurde meer dan zeven maanden en bracht een mogelijk schade aan het licht van gevoelige informatie met betrekking tot het slachtoffer en de klanten van het slachtoffer die in Office 365 mailboxen waren opgeslagen. 243 dagen na het eerste schade werd DART vervolgens ingeschakeld om samen te werken met de leverancier van het incidentrespons en de interne teams van het bedrijf,”

zegt Microsoft.

“DART identificeerde snel gerichte post zoekopdrachten en gecompromitteerde accounts, evenals de command-and-controlekanalen voor aanvallers. DART identificeerde ook vijf extra, verschillende aanvaller campagnes blijven bestaan in de omgeving die geen verband hielden met het eerste incident. Ze ontdekten dat deze aanvallers al eerder in de omgeving waren gekomen om toegangskanalen (dat wil zeggen achterdeuren) te creëren voor later gebruik als dat nodig is.”

Microsoft schetst vijf basisstappen die organisaties kunnen gebruiken om hun blootstelling aan APT-aanvallers te minimaliseren, waaronder het inschakelen van MFA, het verwijderen van verouderde verificatie, het adequaat trainen van Eerste hulp, het correct registreren van gebeurtenissen met een beveiliging, informatie en gebeurtenis beheerproduct en erkennen dat aanvallers legitieme administratieve en beveiligingstools gebruiken om doelen te onderzoeken.

De post biedt dezelfde boodschap die het gaf aan klanten die het slachtoffer zijn van grote ransomware groepen vorige week: klanten moeten beschikbaar beveiligingsprogramma’s in te schakelen en zich te concentreren op het loggen van beveiligingsevenementen.

Microsoft behandelde het werk van de exploitanten van REvil, Samas of SamSam, Doppelpaymer, Bitpaymer, en Ryuk ransomware. Het gedetailleerd beschrijven hoe aanvallers beveiligingssoftware uitschakelen en opgemerkt dat sommige klanten zelfs beveiligingssoftware uitschakelen om de prestaties te verbeteren, waardoor cybercriminelen maandenlang ongehinderd door netwerken kunnen zwerven.

Disclaimer

Disclaimer

Logo: Softwaregeek.nl

Op deze pagina vindt u de disclaimer van

Softwaregeek.nl

In deze disclaimer geven wij aan onder welk voorbehoud wij de informatie op onze website aan u aanbieden.

Intellectueel eigendom

Het gebruik van de informatie op deze website is gratis zolang u deze informatie niet kopieert, verspreidt of op een andere manier gebruikt of misbruikt. U mag de informatie op deze website alleen hergebruiken volgens de regelingen van het dwingend recht.

Zonder uitdrukkelijke schriftelijke toestemming van Softwaregeek.nl is het niet toegestaan tekst, fotomateriaal of andere materialen op deze website her te gebruiken. Het intellectueel eigendom berust bij softwaregeek.nl.


Geen garantie op juistheid

Indien van toepassing:

Voor de Prijzen die op onze website staan, geldt dat wij streven naar een zo zorgvuldig mogelijke weergave van de realiteit en de bedoelde prijzen. Fouten die daarbij ontstaan en herkenbaar zijn als programmeer dan wel typefouten, vormen nooit een aanleiding om een contract dan wel overeenkomst met te mogen claimen of te veronderstellen.

streeft naar een zo actueel mogelijke website. Mocht ondanks deze inspanningen de informatie van of de inhoud op deze website onvolledig en of onjuist zijn, dan kunnen wij daarvoor geen aansprakelijkheid aanvaarden.

De informatie en/of producten op deze website worden aangeboden zonder enige vorm van garantie en of aanspraak op juistheid. Wij behouden ons het recht voor om deze materialen te wijzigen, te verwijderen of opnieuw te plaatsen zonder enige voorafgaande mededeling. Softwaregeek.nl aanvaardt geen aansprakelijkheid voor enige informatie die op websites staat waarnaar wij met hyperlinks verwijzen.

Wijzigingen

Mocht deze disclaimer wijzigen, dan vindt u de meest recente versie van de disclaimer op deze pagina.

Heeft u vragen over het bovenstaande laat het hier onder dan weten.


    Pin It on Pinterest