Архив метки: BlackBasta

Трендовые уязвимости июня по версии Positive Technologies

Добавить комментарий

Трендовые уязвимости июня по версии Pos­i­tive Tech­nolo­gies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab‑а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Win­dows CSC (CVE-2024–26229)
🔻 EoP в Microsoft Win­dows Error Report­ing (CVE-2024–26169)
🔻 EoP в Microsoft Win­dows Ker­nel (CVE-2024–30088)
🔻 RCE в PHP (CVE-2024–4577)
🔻 EoP в Lin­ux Ker­nel (CVE-2024–1086)
🔻 InfDis­clo­sure в Check Point Secu­ri­ty Gate­ways (CVE-2024–24919)
🔻 RCE в VMware vCen­ter (CVE-2024–37079, CVE-2024–37080)
🔻 Auth­By­pass в Veeam Back­up & Repli­ca­tion (CVE-2024–29849)

Повышение критичности уязвимости Elevation of Privilege — Windows Error Reporting Service (CVE-2024–26169)

Добавить комментарий

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169)

Повышение критичности уязвимости Ele­va­tion of Priv­i­lege — Win­dows Error Report­ing Ser­vice (CVE-2024–26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tues­day. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷‍♂️

Однако, через 3 месяца, 12 июня, исследователи Syman­tec сообщили об атаках, связанных с известным шифровальщиком Black Bas­ta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔

13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.

Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений — лучше.

Американцы выпустили joint Cybersecurity Advisory (CISA, FBI, HHS, MS-ISAC) против шифровальщика Black Basta

Добавить комментарий

Американцы выпустили joint Cybersecurity Advisory (CISA, FBI, HHS, MS-ISAC) против шифровальщика Black Basta

Американцы выпустили joint Cyber­se­cu­ri­ty Advi­so­ry (CISA, FBI, HHS, MS-ISAC) против шифровальщика Black Bas­ta. Утверждается, что по состоянию на май 2024, от Black Bas­ta пострадали более 500 организаций по всему миру, включая бизнесы и критическую инфраструктуру в Северной Америке, Австралии и Европе. Затронуто 12 из 16 секторов критической инфраструктуры.

Шифровальщик впервые замечен в апреле 2022 года. Первоначальное заражение выполняет с помощью фишинга или эксплуатацией февральской уязвимости обхода аутентификации в Con­nect­Wise Screen­Con­nect (CVE-2024–1709).

Инструментарий для подъема привилегии и горизонтального перемещения: Mimikatz и эксплуатация уязвимостей ZeroL­o­gon (CVE-2020–1472), NoPac (CVE-2021–42278, CVE-2021–42287), Print­Night­mare (CVE-2021–34527). Исправления уязвимостей были доступны годами, но в организациях их не применяли. 🤷‍♂️ Возможно надеялись, что периметр никогда не проломят. Вышло иначе. 😏