Microsoft løser null -dagers sårbarhet som kinesiske spioner utnytter

Microsoft fikser null-dagers sårbarhet som rapporteres utnyttet av kinesiske spioner. Selskapets plan for reparasjonsoppdateringer fra oktober inkluderer også denne nulldagssårbarheten blant 71 andre. Dette året er allerede regnet som den rikeste på 0-dagers brudd, men festen ser ut til å være langt fra over.

Kinesiske spioner bak CVE-2021-40449 zero-day-sårbarheten

Selskapet slipper vanligvis oppdateringer den andre tirsdagen hver måned, kjent som Patch Tuesday. Denne tidsutgivelsen fikser 71 feil, blant dem ble en aktivt utnyttet. Sikkerhetsfeil ble funnet i Edge -nettleseren, Microsoft Office, Visuelt studio, Exchange Server, og MSHTML. De mottok alle sikkerhetsoppdateringer. Cybersikkerhetsspesialister tildelte to av dem kritiske vurderinger, 68 like viktig og én lav alvorlighetsgrad. Tre ble allerede offentliggjort før oppdateringene ble utgitt og en som går etter identifikasjonen CVE-2021-40449 ble oppdaget i naturen.

Denne utnyttelsen ble oppdaget og rapportert av Boris Larin, malware-analytikeren. Han er ansvarlig for oppdagelse og forebygging av avanserte trusler som utnyttelser. I følge rapporten ble utnyttelsen brukt til å målrette Microsoft Windows -servere.

"Foruten å finne null-dagen i naturen, Vi analyserte nyttelasten for skadelig programvare som ble brukt sammen med null-dagers utnyttelse, og fant ut at varianter av skadelig programvare ble oppdaget i utbredte spionasje -kampanjer mot IT -selskaper, militære/forsvarsentreprenører, og diplomatiske enheter,”Skrev kollegene Costin Raiu og Larin på bloggen om cybersikkerhet.1

Den aller første oppdaget spesifikke elevation-of-privilege-angrepsaktiviteten på Windows-servere ble oppdaget i slutten av august og begynnelsen av september samme år. CVE-2021-40449 hjalp angripere med å omgå Windows-sikkerhet. Det var en “bruk-etter-fri” informasjon om avsløring av informasjon. Angriperne ble identifisert som kinesisktalende “IronHusky” APT -gruppen som har vært på stedet siden 2012. De brukte Win32k -sårbarheten for å spionere, sier forskerne. Hackere lagde vanligvis en trojansk ekstern tilgang (ROTTE) for å etablere et kommando-og-kontrollpunkt på Windows Server. Koden som ble brukt i disse angrepene fikk “MysterySnail” Navn.

En annen feil i Exchange -servere rapportert av U.S. National Security Agency

En annen feil som fikk stor oppmerksomhet i media er CVE-2021-26427. Den har en CVSS -score på 9.0 og ble rapportert av U.S. National Security Agency. I mars brukte hackere den til å tømme e -post fra og til å injisere hundrevis av selskaper med bakdører. Exchange-servere er høyverdige mål for hackere som ønsker å undersøke forretningsnettverk. Alvorlighetsgraden håndheves også av det faktum at alt er begrenset til logisk tilstøtende topologi og det innebærer ikke direkte utnyttelse over internett.

Microsoft merket denne feilen som usannsynlig å være under utnyttelsesradar. Årsaken er at hackere må ha tilgang til nettverket ditt for å kunne bruke dette sikkerhetsproblemet. Men cybersikkerhetsspesialister advarer om at dette ikke kan være det første du må ta hensyn til mens du reparerer oppdateringer, men absolutt må holdes i sikte. E -post har alltid vært et hovedmål for hackere. Det er ganske enkelt på grunn av dataene i dem som kan brukes til forskjellige ondsinnede formål.

  1. https://redmondmag.com/articles/2021/10/13/espionage-attackers-were-using-windows-zero-day-vulnerability.aspx

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen