Microsoft løser nul -dages sårbarhed, der udnyttes af kinesiske spioner

Microsoft retter nul-dages sårbarhed, der angiveligt udnyttes af kinesiske spioner. Virksomhedens oktober-fixing patches-plan inkluderer også denne nul-dages sårbarhed blandt 71 andre. Dette år tælles allerede som den rigeste på 0-dages brud, men festen ser ud til at være langt fra slut.

Kinesiske spioner bag CVE-2021-40449 zero-day sårbarheden

Virksomheden frigiver normalt patches den anden tirsdag hver måned, kendt som Patch Tuesday. Denne tidsudgivelse rettes 71 fejl, blandt dem man aktivt udnyttet. Der blev fundet sikkerhedsfejl i Edge -browseren, Microsoft Office, Visual Studio, Exchange Server, og MSHTML. De modtog alle sikkerhedsopdateringer. Cybersikkerhedsspecialister tildelte to af dem kritiske vurderinger, 68 lige så vigtig og en lav sværhedsgrad. Tre blev allerede offentliggjort før programrettelserne blev udgivet, og en der går efter identifikationen CVE-2021-40449 blev opdaget i naturen.

Denne udnyttelse blev opdaget og rapporteret af Boris Larin, malware-analytikeren. Han er ansvarlig for opdagelse og forebyggelse af avancerede trusler såsom udnyttelser. Ifølge rapporten blev udnyttelsen brugt til at målrette mod Microsoft Windows -servere.

”Udover at finde nul-dagen i naturen, vi analyserede malware nyttelast, der blev brugt sammen med nul-dages udnyttelse, og fandt ud af, at varianter af malware blev opdaget i udbredte spionagekampagner mod it -virksomheder, militær/forsvarsentreprenører, og diplomatiske enheder,”Skrev kollegerne Costin Raiu og Larin på bloggen om cybersikkerhed.¹

Den allerførste bemærkede specifikke elevation-of-privilege-angrebsaktivitet på Windows-servere blev opdaget i slutningen af ​​august og begyndelsen af ​​september samme år. CVE-2021-40449 hjalp angribere med at omgå Windows-sikkerhed. It was a “use-after-free” information disclosure issue. The attackers were identified as a Chinese-speaking “IronHusky” APT group that has been on the scene since 2012. De brugte Win32k -sårbarheden for at spionere, siger forskerne. Hackere lavede generelt en trojansk fjernadgang (ROTTE) at etablere et kommando-og-kontrolpunkt på Windows Server. Code that was used in these attacks got the “MysterySnail” name.

En anden fejl i Exchange -servere rapporteret af U.S.. National Security Agency

En anden fejl, der fik stor medieopmærksomhed, er CVE-2021-26427. Den har en CVSS -score på 9.0 og blev rapporteret af U.S. National Security Agency. I marts brugte hackere det til at tømme e -mails fra og til at injicere hundredvis af virksomheder med bagdøre. Exchange-servere er mål af høj værdi for hackere, der ønsker at undersøge forretningsnetværk. Alvorligheden håndhæves også af det faktum, at alt er begrænset til logisk tilstødende topologi, og det indebærer ikke direkte udnyttelse via internettet.

Microsoft markerede denne fejl som sandsynligvis ikke under udnyttelsesradar. Årsagen er, at hackere skal have adgang til dit netværk for at kunne bruge denne sårbarhed. Men cybersikkerhedsspecialister advarer om, at dette ikke kan være det første, man skal passe på, mens de reparerer patches, men det skal bestemt holdes for øje. E -mails har altid været et primært mål for hackere. Det er simpelthen på grund af dataene i dem, der kan bruges til forskellige ondsindede formål.

1. https://redmondmag.com/articles/2021/10/13/espionage-attackers-were-using-windows-zero-day-vulnerability.aspx