Microsoft retter nul-dages sårbarhed, der angiveligt udnyttes af kinesiske spioner. Virksomhedens oktober-fixing patches-plan inkluderer også denne nul-dages sårbarhed blandt 71 andre. Dette år tælles allerede som den rigeste på 0-dages brud, men festen ser ud til at være langt fra slut.
Kinesiske spioner bag CVE-2021-40449 zero-day sårbarheden
Virksomheden frigiver normalt patches den anden tirsdag hver måned, kendt som Patch Tuesday. Denne tidsudgivelse rettes 71 fejl, blandt dem man aktivt udnyttet. Der blev fundet sikkerhedsfejl i Edge -browseren, Microsoft Office, Visual Studio, Exchange Server, og MSHTML. De modtog alle sikkerhedsopdateringer. Cybersikkerhedsspecialister tildelte to af dem kritiske vurderinger, 68 lige så vigtig og en lav sværhedsgrad. Tre blev allerede offentliggjort før programrettelserne blev udgivet, og en der går efter identifikationen CVE-2021-40449 blev opdaget i naturen.
Denne udnyttelse blev opdaget og rapporteret af Boris Larin, malware-analytikeren. Han er ansvarlig for opdagelse og forebyggelse af avancerede trusler såsom udnyttelser. Ifølge rapporten blev udnyttelsen brugt til at målrette mod Microsoft Windows -servere.
”Udover at finde nul-dagen i naturen, vi analyserede malware nyttelast, der blev brugt sammen med nul-dages udnyttelse, og fandt ud af, at varianter af malware blev opdaget i udbredte spionagekampagner mod it -virksomheder, militær/forsvarsentreprenører, og diplomatiske enheder,”Skrev kollegerne Costin Raiu og Larin på bloggen om cybersikkerhed.1
Den allerførste bemærkede specifikke elevation-of-privilege-angrebsaktivitet på Windows-servere blev opdaget i slutningen af august og begyndelsen af september samme år. CVE-2021-40449 hjalp angribere med at omgå Windows-sikkerhed. Det var en “brug-efter-fri” spørgsmål om videregivelse af oplysninger. Angriberne blev identificeret som kinesisk-talende “IronHusky” APT -gruppe, der har været på stedet siden 2012. De brugte Win32k -sårbarheden for at spionere, siger forskerne. Hackere lavede generelt en trojansk fjernadgang (ROTTE) at etablere et kommando-og-kontrolpunkt på Windows Server. Kode, der blev brugt i disse angreb, fik “MysterySnail” Navn.
En anden fejl i Exchange -servere rapporteret af U.S.. National Security Agency
En anden fejl, der fik stor medieopmærksomhed, er CVE-2021-26427. Den har en CVSS -score på 9.0 og blev rapporteret af U.S. National Security Agency. I marts brugte hackere det til at tømme e -mails fra og til at injicere hundredvis af virksomheder med bagdøre. Exchange-servere er mål af høj værdi for hackere, der ønsker at undersøge forretningsnetværk. Alvorligheden håndhæves også af det faktum, at alt er begrænset til logisk tilstødende topologi, og det indebærer ikke direkte udnyttelse via internettet.
Microsoft markerede denne fejl som sandsynligvis ikke under udnyttelsesradar. Årsagen er, at hackere skal have adgang til dit netværk for at kunne bruge denne sårbarhed. Men cybersikkerhedsspecialister advarer om, at dette ikke kan være det første, man skal passe på, mens de reparerer patches, men det skal bestemt holdes for øje. E -mails har altid været et primært mål for hackere. Det er simpelthen på grund af dataene i dem, der kan bruges til forskellige ondsindede formål.
