A CVE-2024-21410 néven nyomon követett, kritikus súlyosságú jogosultságnövelési hiba, amelyet a hackerek aktívan kihasználnak, lehetővé teszi, hogy hitelesítés nélküli támadók NTLM relay támadásokat hajtsanak végre a sebezhető Microsoft Exchange szervereken, és növeljék jogosultságaikat a rendszerben.

A Zero Day Initiative (ZDI) nemrégiben nyilvánosságra hozott négy kritikus súlyosságú sebezhetőséget, amelyet a Microsoft Exchange rendszerekben találtak. A szeptember 7-én jelentett hibákat a Microsoft 20 nappal később azonnali beavatkozást nem igénylőnek minősítette, így a ZDI két hónappal később, most, nyilvánosságra hozta ezek tényét.

Az interneten a korlátlan lehetőségek. A korlátlan lehetőségek viszont felelősséggel és veszélyekkel járnak. Mi mindannyian felelősek vagyunk az internet egészségéért, azzal hogy tudatosan használjuk ezt a nagyszerű eszközt. Oszd meg ezt a bejegyzést, azokkal, akiket biztonságban szeretnél tudni.

Az ESET kutatói felfedeztek egy új Lazarus Operation DreamJob támadási kampányt, amely Linux felhasználókra céloz. Az Operation DreamJob elnevezésű sorozatban a csoport social engineering technikákat használ, hogy befolyásolja célpontjait, hamis állásajánlatokkal becsalogatva őket.

Az alábbi hibákra derült fény a szokásos keddi hibajavító napon, amelyk közül több súlyos, és azonnal javítandó, és a kárenyhítést is érdemes elvégezni. Az első a Microsoft Outlook jogosultságemelkedési hibát javított, amely lehetővé teszi, hogy speciálisan megalkotott e-mailek kényszerítsék a célpont eszközét arra, hogy csatlakozzon egy távoli URL-címhez, és átadja a Windows-fiók Net-NTLMv2 hash-ját. A hiba már akkor aktiválódik, mielőtt a levél megjelenne a előnézeti ablakban. A másik sebezhetőség aktív támadás alatt áll, bár ez sokkal kevésbé izgalmas. A sebezhetőség lehetővé teszi, hogy a támadók olyan fájlokat hozzanak létre, amelyek kikerülik a Mark of the Web (MOTW) védelmi mechanizmusait. A HTTP protokoll verem távoli kód végrehajtási sebezhetősége is elég súlyos, CVSS 9,8-as besorolású, és lehetővé teszi a távoli, hitelesítetlen támadók számára, hogy felhasználói interakció nélkül rendszer szintű kódot hajtsanak végre. Ez a kombináció lehetővé teszi a kódfertőzési láncolat gyors terjedését. Az Internet Control Message Protocol (ICMP) távoli kódvégrehajtási sebezhetősége, amely a jelenleg támogatott összes Windows rendszert érinti. Ugyanúgy összes Windows rendszert érinti egy távoli eljáráshívás (RPC) távoli kód végrehajtási sebezhetősége is. Illetve a támadók SYSTEM jogosultságot szerezhetnek egy megfelelően előkészített XPS fájlt kinyomtatva is.

A Play zsarolóvírus (más néven PlayCrypt) egy új zsarolóprogram, amely 2022 júniusában fedeztek fel először. A Play zsarolóvírussal folytatott támadások világszerte folyamatosan szedik az áldozataikat. A Play a közelmúltban azzal került be a hírekbe, hogy segítségével megtámadták az argentin Cordobai Igazságügyi Minisztériumot és a német „H-Hotels” szállodaláncot, továbbá Antwerpen város informatikája és a Rackspace is áldozatul esett ilyen támadásnak. A Play támadásai a latin-amerikai régió szervezeteire összpontosítanak - Brazília az elsődleges célpontjuk. Indiában, Magyarországon, Spanyolországban és Hollandiában is megfigyelték ezeket a támadások végrehajtásában. A Cobalt Strike által kompromittálódott célpontokat, illetve nemrég kezdték el kihasználni a Microsoft Exchange ProxyNotShell sebezhetőségeit is. A csoport taktikája és technikái hasonlóak a Hive és a Nokoyawa zsarolóvírus-csoportokhoz, ami a kutatók szerint arra enged következtetni, hogy a Play-t ugyanazok az emberek működtetik. Vessünk egy pillantást a Play ransomware-re, taktikáikra és technikáikra, valamint arra, hogy a szervezetek hogyan védekezhetnek az ilyen típusú fenyegető szereplők ellen.

Októberben írtuk hírt arról, hogy Két új Microsoft Exchange zero-day sebezhetőségre derült fény (ProxyNotShell). Miután az első javítása a problémának nem sikerült, November 8-án megjelent frissítés hozott megnyugtató javítást ezzel a hibával és újabb két hibával (CVE-2022-41123, CVE-2022-41080, összefoglaló néven: OWASSRF) kapcsolatban is, mert az első verzió megkerülhető megoldást hozott csak. Ez utóbbi kettő szintén jogosultságemelést tesz lehetővé, amit a Microsoft is mindkét esetben (1, 2) elismert és javított 2022. november 8-án. Összesen 180 ezernél több Microsoft Exchange szerver üzemel publikusan a világban (ebből 100 ezer Európában, 50 ezer Észak-Amerikában), és a mai napig ezekből 62 000 sebezhető (ebből Európából 32 ezer, 18 ezer Észak-Amerikában) - a Shadowserver adatai alapján. Ezek az adatok a CVE-2020-0688, CVE-2021-26855, CVE-2021-27065, CVE-2022-41082 sérülékenység alapján készült, amelyeket mindenképpen sürgősen be kell foltozni, a további nagyobb problémák, például zsarolóvírusos támadások elkerülése végett. Ezeket a sebezhetőségeket többek között a Play zsarolóvírus terjesztésére is felhasználják napjainkban. Emlékeztetőül a a  CVE-2022-41082 hibáról ami távoli kódfuttatást (RCE) teszi lehetővé és a CVE-2022-41040 hibáról, ami egy SSRF (Server-Side Request Forgery) sebezhetőség: