Forwarded from SecAtor
Спешим вас обрадовать еще одной неприятностью, связанной с популярным среди хакеров (и в особенности для АРТ) Microsoft Exchange. Но в данной ситуации - все исправимо.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
Twitter
Kevin Beaumont
Just caught somebody in the wild trying to exploit CVE-2021-42321 to execute code on MailPot, by chaining it with ProxyShell (no, I don't know why either - it doesn't work).
https://www.bugcrowd.com/resources/guides/inside-the-mind-of-a-hacker/
Key takeaways
91 percent of ethical hackers said that point-in-time testing cannot secure companies year-round.
80 percent of ethical hackers found a vulnerability they had not encountered before the pandemic.
74 percent of ethical hackers agree vulnerabilities have increased since the onset of COVID-19.
71 percent of ethical hackers report they earn more now that most companies work remotely.
45 percent of ethical hackers believe lack of scope inhibits the discovery of critical vulnerabilities.
27 billion dollars worth of cybercrime was prevented by ethical hackers.
Key takeaways
91 percent of ethical hackers said that point-in-time testing cannot secure companies year-round.
80 percent of ethical hackers found a vulnerability they had not encountered before the pandemic.
74 percent of ethical hackers agree vulnerabilities have increased since the onset of COVID-19.
71 percent of ethical hackers report they earn more now that most companies work remotely.
45 percent of ethical hackers believe lack of scope inhibits the discovery of critical vulnerabilities.
27 billion dollars worth of cybercrime was prevented by ethical hackers.
Bugcrowd
Inside the Mind of a Hacker | Bugcrowd
Learn what ethical hackers can teach us about the next era of artificial intelligence
Forwarded from SecAtor
Еще вчера мы писали о 0-day уязвимости локального повышения привилегий в установщике Microsoft Windows (CVE-2021-41379), обнаруженную как обход исправлений последнего Patch Tuesday, который и должен был исправить ту самую дыру.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
Cisco Talos Blog
Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage
Cisco Talos is releasing new SNORTⓇ rules to protect against the exploitation of a zero-day elevation of privilege vulnerability in Microsoft Windows Installer. This vulnerability allows an attacker with a limited user account to elevate their privileges…
Исследование по экономике переговорного процесса с преступными группировками после успешной атаки шифровальщиков.
Включает в себя раздел с рекомендациями по самим переговорам.
https://research.nccgroup.com/2021/11/12/we-wait-because-we-know-you-inside-the-ransomware-negotiation-economics/
Включает в себя раздел с рекомендациями по самим переговорам.
https://research.nccgroup.com/2021/11/12/we-wait-because-we-know-you-inside-the-ransomware-negotiation-economics/
Новый отчет по безопасности жд транспорта
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
ENISA
Risk Management: Helping the EU Railways Catch the Cybersecurity Train
Risk management for the EU railways drives the attention of a new report by the European Union Agency for Cybersecurity. The report will be announced by Juhan Lepassaar during today’s webinar co-organised with the European Union Agency for Railways.
Forwarded from SecAtor
Компания VMware выпустила новый патч обновлений устраняющий две ошибки безопасности в vCenter Server и Cloud Foundation, которые могут быть использованы злоумышленником для получения удаленного доступа к конфиденциальной информации.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.