Сегодня в ТОП-5 — новые волны атак Jupiter Infostealer, критические уязвимости Microsoft Exchange, отказ Microsoft от трех функций и сервисов Windows, новая уязвимость в Microsoft, связанная с кражей NTLM-токенов и файлообменник DRACOON.team для фишинговых атак. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Данил Глазырин.
Обнаружены новые волны атак Jupiter Infostealer
Специалисты VMware Carbon Black выпустили блог об обновлении инфостилера Jupiter. Инфостилер Jupiter, написанный на .NET, известен методами манипуляции с поисковой оптимизацией и вредоносной рекламой, которые используются для обмана пользователей. Обновленная версия ПО способна не только собирать учетные данные, но и устанавливать зашифрованное соединение с C2 для кражи данных и возможности выполнять произвольные команды. Исследователи обнаружили новые атаки Jupiter, которые используют модификации команд PowerShell и подписи закрытых ключей в попытках выдать вредоносное ПО за законно подписанный файл.
Microsoft Exchange подвержен сразу четырем 0-day уязвимостям
Эксперты ZDI (Zero Day Initiative) раскрыли критические уязвимости, требующие немедленных действий. Среди них ZDI-23-1578 (критичность 7.5) — уязвимость удаленного выполнения кода в классе 'ChainedSerializationBinder', где данные пользователя не проверяются должным образом, что позволяет злоумышленникам десериализовать ненадежные данные. Успешное использование этой уязвимости позволяет атакующему выполнять произвольный код от имени 'SYSTEM' — с наивысшими привилегиями в Windows. ZDI-23-1579 (критичность 7.1), связанная с методом 'DownloadDataFromUri', возникает из-за недостаточной проверки URI перед доступом к ресурсу, что может привести к несанкционированному доступу к конфиденциальной информации серверов Exchange. ZDI-23-1580 (критичность 7.1) и ZDI-23-1581 (критичность 7.1) связаны с неправильной проверкой URI, что также может привести к утечке конфиденциальной информации.
Рекомендуется внедрение многофакторной аутентификации для предотвращения доступа киберпреступников к экземплярам Exchange даже в случае компрометации учетных данных.
Windows 11 прекращает поддержку SMB1
Начиная с Windows XP SP2 и до упомянутого релиза при создании общих ресурсов SMB автоматически устанавливались правила брандмауэра в группе «Общий доступ к файлам и принтерам» для указанных профилей брандмауэра. После релиза новой сборки Windows 11 настроит обновленную группу «Общий доступ к файлам и принтерам (Restrictive)», исключив входящие порты NetBIOS 137–139, которые являются артефактами SMB1. Помимо этого, компания Microsoft решила отказаться от трех функций и сервисов Windows, в том числе от WebDAV в Windows 10 и Windows 11. В «черный список» также попали протокол Remote Mailslots и служба Computer Browser. Как заявляет Microsoft, причиной отмены этих инструментов стало их несоответствие современным стандартам безопасности. Уже появились более передовые и надежные технологии, которым разработчики и отдадут предпочтение.
Обнаружена новая уязвимость, связанная с кражей NTLM-токенов в Microsfot Access
Специалисты Check Point Research обнаружили уязвимость в Microsoft, которая позволяет киберпреступнику использовать функцию «Связывание с удаленными таблицами SQL Server» для автоматической утечки NTLM-токенов пользователя Windows на сервер злоумышленника через любой TCP-порт, включая порт 80. Для выявления атаки Check Point выпустила сигнатуру IPS под названием «Microsoft Windows NTLM Information Disclosure» и реализовала обнаружение файлов Microsoft Access (.accdb), содержащих объекты, приводящие к утечке NTLM как Trojan.Wins.LinkedTable.A или Trojan.Wins.LinkedTable.B. Исследователи рекомендуют не открывать вложения из недостоверных источников, а также отключить макросы в MS Access или удалить их из системы, если они не являются обязательными для установки пакета Office.
Злоумышленники используют файлообменник DRACOON.team для фишинговых атак
Исследователи TrendMicro обнаружили фишинговую компанию, в которой использовался безопасный инструмент для обмена файлами DRACOON.team, чтобы обманом заставить пользователей раскрыть учетные данные для входа в Microsoft 365. В отличие от предыдущих фишинговых кампаний, в этой используется промежуточная ссылка в размещенных документах, что затрудняет обнаружение и обход типичных мер безопасности электронной почты. Эксперты также идентифицировали вредоносный javascript (myscr759609.js), который отвечает за сбор учетных данных и последующую публикацию данных. TrendMicro советует пострадавшим пользователям обновить свои пароли, чтобы снизить опасность, связанную с этой попыткой фишинга, проводить регулярные ознакомительные занятия и комплексные обучающие программы для обучения пользователей, а также внедрить многофакторную аутентификацию.
Источник новости: habr.com
