TOP 3 Cybersecurity-Events der Woche laut Jet CSIRT / Sudo Null IT News

Microsoft hat Maßnahmen zum Schutz vor der Ausnutzung der ProxyNotShell-Schwachstelle aktualisiert

Microsoft hat Schutzmaßnahmen gegen zwei neue Zero-Day-Schwachstellen in Microsoft Exchange veröffentlicht – CVE-2022-41040 und CVE-2022-41082. Eine der Schutzoptionen bestand darin, die Zeile „.autodiscover.json.*@.*Powershell“ hinzuzufügen. in den Aktionsbereich des URL-Umschreibungsfensters der IIS-Manager-Konsole. Sicherheitsforscher Jang bemerkte, dass das „@“-Zeichen zu präzise und daher für die aktuelle Regel ineffizient ist. GTSC-Forscher bestätigten diese Hypothese und posteten ein Video mit einer Umgehung der vorgeschlagenen Schutzmaßnahmen von Microsoft und schlugen auch vor, eine alternative Regel zu verwenden. Microsoft hat diese Meldungen überprüft und Minderungsmaßnahmen aktualisiert.

Mehr über die Schwachstelle und aktuelle Schutzmaßnahmen erfahren Sie in Bekanntmachung Jet-CSIRT.

Hacker haben Daten von einem Auftragnehmer des US-Verteidigungsministeriums gestohlen

Die US-Regierung hat einen Vorfall gemeldet, bei dem eine Regierungsgruppe mithilfe von CovalentStealer und Impacket vertrauliche Informationen von einem Auftragnehmer des Verteidigungsministeriums gestohlen hat. Der Angriff dauerte 10 Monate, und der erste Zugriff wurde durch Ausnutzen der ProxyLogon-Schwachstelle erlangt. Ein gemeinsamer Bericht der Cybersecurity and Infrastructure Agency (CISA), des Federal Bureau of Investigation (FBI) und der National Security Agency (NSA) enthält technische Details des Vorfalls, der von November 2021 bis Januar 2022 andauerte.

Angreifer verwenden eine neue Technik, um den Endpunktschutz zu umgehen

Die Ransomware-Gruppe BlackByte hat eine neue Technik implementiert, die Sicherheitsforscher Bring Your Own Driver genannt haben. Diese Technik ermöglicht es Angreifern, den Schutz zu umgehen und mehr als 1000 Treiber zu deaktivieren, die von verschiedenen Sicherheitslösungen verwendet werden. Bei den jüngsten Angriffen wurde der Treiber MSI Afterburner RTCore64.sys verwendet, der die Schwachstelle CVE-2019-16098 enthält. Es ermöglicht einem Angreifer, Berechtigungen lokal zu eskalieren oder Code aus der Ferne auszuführen. Die Ausnutzung dieser Schwachstelle ermöglichte es BlackByte, die Sicherheitstreiber zu deaktivieren: EDR und Antivirus. Die Lazarus-Fraktion wurde auch gesehen, wie sie in ihrer Kampagne die Technik „Bring Your Own Driver“ verwendet.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *