Компания Microsoft обновила меры защиты от эксплуатации уязвимости ProxyNotShell
Microsoft опубликовала защитные меры от двух новых уязвимостей нулевого дня Microsoft Exchange — CVE-2022-41040 и CVE-2022-41082. Одним из вариантов защиты стало добавление строки «.autodiscover.json.*@.*Powershell.» в раздел Action окна URL Rewrite консоли IIS Manager. Исследователь безопасности Jang обратил внимание на то, что символ «@» является излишне точным, а следовательно, неэффективным для текущего правила. Исследователи GTSC подтвердили эту гипотезу и выложили видео с обходом предложенных защитных мер от Microsoft, а также предложили использовать альтернативное правило. Microsoft рассмотрела данные сообщения и обновила меры по смягчению последствий.
Подробнее об уязвимости и актуальных мерах защиты вы можете узнать в бюллетене Jet CSIRT.
Хакеры украли данные у подрядчика министерства обороны США
Правительство США сообщило об инциденте, в котором правительственная группировка с помощью CovalentStealer и Impacket украла чувствительную информацию у одного из подрядчиков министерства обороны. Атака длилась в течение 10 месяцев, а первоначальный доступ был получен с помощью эксплуатации уязвимости ProxyLogon. В совместном отчете Агентства кибербезопасности и инфраструктуры (CISA), Федерального бюро расследований (ФБР) и Агентства национальной безопасности (АНБ) представлены технические подробности инцидента, который длился с ноября 2021 года по январь 2022 года.
Злоумышленники используют новую технику для обхода средств защиты на конечных узлах
Группировка вымогателей BlackByte применила новую технику, которую исследователи безопасности назвали Bring Your Own Driver. Данная техника позволяет злоумышленникам обходить защиту и отключать более 1000 драйверов, используемых различными решениями безопасности. В недавних атаках применялся драйвер MSI Afterburner RTCore64.sys, который содержит уязвимость CVE-2019-16098. Она позволяет злоумышленнику локально повысить привилегии или удаленно выполнить код. Использование этой уязвимости позволило BlackByte отключить драйверы средств защиты: EDR и антивирус. Также группировка Lazarus была замечена при использовании техники Bring Your Own Driver в своей кампании.