Το Windows Update client μπορεί να χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows. Όπως λένε και οι ειδικοί, το Windows Update προστέθηκε στη λίστα με τα LoLBins (living-off-the-land binaries). Τα LoLBins είναι εκτελέσιμα με υπογραφή Microsoft (προεγκατεστημένα ή κατεβασμένα), που μπορούν να χρησιμοποιηθούν από hackers για την αποφυγή της ανίχνευσης (κατά τη λήψη) και για την εγκατάσταση ή εκτέλεση κακόβουλου κώδικα.Επίσης, οι εγκληματίες μπορούν να τα επιλέξουν για να παρακάμψουν τον έλεγχο Windows User Account Control (UAC) ή το Windows Defender Application Control (WDAC) και για να μείνουν για μεγάλο χρονικό διάστημα σε συστήματα που έχουν παραβιαστεί ήδη.
Το WSUS / Windows Update client (wuauclt) είναι ένα βοηθητικό πρόγραμμα που βρίσκεται στο% windir% \ system32 \, παρέχοντας στους χρήστες μερικό έλεγχο σε ορισμένες από τις λειτουργίες του Windows Update Agent, από τη γραμμή εντολών.Επιτρέπει στους χρήστες να ελέγχουν για νέες ενημερώσεις και να τις εγκαθιστούν χωρίς να χρειάζεται να χρησιμοποιήσουν το Windows UI. Μπορούν να το κάνουν από ένα παράθυρο Command Prompt.Ο ερευνητής της MDSec, David Middlehurst, ανακάλυψε ότι το wuauclt μπορεί να χρησιμοποιηθεί από επιτιθέμενους για την εκτέλεση κακόβουλου κώδικα σε συστήματα που τρέχουν Windows 10, φορτώνοντάς το από ένα ειδικά κατασκευασμένο DLL.
ΔΙΑΒΑΣΤΕ: https://www.secnews.gr/275896/windows-update-xrhsimopoieitai-ektelesh-kakoboyloy-kwdika/
Σύμφωνα με τo FBI και την CISA, οι παρατηρούμενες επιθέσεις συνδύασαν δύο ευπάθειες γνωστές ως CVE-2018-13379 και CVE-2020-1472
Σύμφωνα με την κοινή ειδοποίηση των CISA και FBI, οι επιτιθέμενοι συνδυάζουν αυτές τις δύο ευπάθειες για να παραβιάσουν Fortinet servers και στη συνέχεια αποκτούν πρόσβαση σε εσωτερικά δίκτυα χρησιμοποιώντας την ευπάθεια Zerologon.“Οι επιτιθέμενοι χρησιμοποιούν νόμιμα εργαλεία απομακρυσμένης πρόσβασης, όπως VPN και Remote Desktop Protocol (RDP), για πρόσβαση στο περιβάλλον με τα παραβιασμένα credentials“.
Η CISA και το FBI προειδοποίησαν ότι οι hackers θα μπορούσαν να χρησιμοποιήσουν οποιαδήποτε άλλη ευπάθεια σε προϊόντα VPN:
Όσον αφορά στους επιτιθέμενους, το FBI και η CISA δεν έδωσαν πολλές λεπτομέρειες. Ωστόσο, είπαν ότι πρόκειται για προηγμένες APT ομάδες (κρατικές hacking ομάδες). Την περασμένη εβδομάδα, η Microsoft δήλωσε ότι παρατήρησε την ιρανική APT ομάδα Mercury (MuddyWatter) να εκμεταλλεύεται το σφάλμα Zerologon.
https://www.secnews.gr/275174/hackers-syndyazoyn-vpn-windows-sfalmata-gia-epitheseis/
Το WSUS / Windows Update client (wuauclt) είναι ένα βοηθητικό πρόγραμμα που βρίσκεται στο% windir% \ system32 \, παρέχοντας στους χρήστες μερικό έλεγχο σε ορισμένες από τις λειτουργίες του Windows Update Agent, από τη γραμμή εντολών.Επιτρέπει στους χρήστες να ελέγχουν για νέες ενημερώσεις και να τις εγκαθιστούν χωρίς να χρειάζεται να χρησιμοποιήσουν το Windows UI. Μπορούν να το κάνουν από ένα παράθυρο Command Prompt.Ο ερευνητής της MDSec, David Middlehurst, ανακάλυψε ότι το wuauclt μπορεί να χρησιμοποιηθεί από επιτιθέμενους για την εκτέλεση κακόβουλου κώδικα σε συστήματα που τρέχουν Windows 10, φορτώνοντάς το από ένα ειδικά κατασκευασμένο DLL.
ΔΙΑΒΑΣΤΕ: https://www.secnews.gr/275896/windows-update-xrhsimopoieitai-ektelesh-kakoboyloy-kwdika/
Σύμφωνα με τo FBI και την CISA, οι παρατηρούμενες επιθέσεις συνδύασαν δύο ευπάθειες γνωστές ως CVE-2018-13379 και CVE-2020-1472
- Η CVE-2018-13379 είναι μια ευπάθεια στο Fortinet FortiOS Secure Socket Layer (SSL) VPN, έναν on-premise VPN server που έχει σχεδιαστεί για την απόκτηση πρόσβασης σε εταιρικά δίκτυα απομακρυσμένα. Η ευπάθεια επιτρέπει στους εισβολείς να ανεβάσουν κακόβουλα αρχεία σε μη ενημερωμένα συστήματα και να πάρουν τον έλεγχο Fortinet VPN servers.
- Η ευπάθεια CVE-2020-1472, γνωστή και ως Zerologon, εντοπίζεται στο Netlogon, το πρωτόκολλο που χρησιμοποιείται από Windows workstations για έλεγχο ταυτότητας σε Windows Server που λειτουργεί ως domain controller.
Σύμφωνα με την κοινή ειδοποίηση των CISA και FBI, οι επιτιθέμενοι συνδυάζουν αυτές τις δύο ευπάθειες για να παραβιάσουν Fortinet servers και στη συνέχεια αποκτούν πρόσβαση σε εσωτερικά δίκτυα χρησιμοποιώντας την ευπάθεια Zerologon.“Οι επιτιθέμενοι χρησιμοποιούν νόμιμα εργαλεία απομακρυσμένης πρόσβασης, όπως VPN και Remote Desktop Protocol (RDP), για πρόσβαση στο περιβάλλον με τα παραβιασμένα credentials“.
Η CISA και το FBI προειδοποίησαν ότι οι hackers θα μπορούσαν να χρησιμοποιήσουν οποιαδήποτε άλλη ευπάθεια σε προϊόντα VPN:
- Pulse Secure “Connect” εταιρικά VPN (CVE-2019-11510)
- Palo Alto Networks “Global Protect” VPN servers (CVE-2019-1579)
- Citrix “ADC” servers και Citrix network gateways (CVE-2019-19781)
- MobileIron mobile device management servers (CVE-2020-15505)
- F5 BIG-IP network balancers (CVE-2020-5902)
Όσον αφορά στους επιτιθέμενους, το FBI και η CISA δεν έδωσαν πολλές λεπτομέρειες. Ωστόσο, είπαν ότι πρόκειται για προηγμένες APT ομάδες (κρατικές hacking ομάδες). Την περασμένη εβδομάδα, η Microsoft δήλωσε ότι παρατήρησε την ιρανική APT ομάδα Mercury (MuddyWatter) να εκμεταλλεύεται το σφάλμα Zerologon.
https://www.secnews.gr/275174/hackers-syndyazoyn-vpn-windows-sfalmata-gia-epitheseis/
No comments :
Post a Comment