Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
На прошлой неделе, 9 ноября, компания Microsoft выпустила очередной набор патчей для собственных продуктов. Он закрывает 55 уязвимостей, из них 6 критических. Особое внимание уделено новой уязвимости в почтовом сервере Microsoft Exchange. Уязвимость CVE-2021-42321 (описание на сайте производителя, статья в BleepingComputer) оценивается в 8,8 балла по шкале CVSSv3 и позволяет выполнять произвольный код на сервере. Уязвимость работает после авторизации на сервере и уже используется в таргетированных атаках.
Уязвимости подвержены серверы Microsoft Exchange версий 2013, 2016 и 2019, работающие на стороне заказчика. Облачный вариант сервиса Exchange Online вне опасности. Проблема была обнаружена в процессе валидации команд в Exchange Powershell, средстве автоматизации работы с сервером. Еще одна серьезная уязвимость закрыта на прошлой неделе в Microsoft Excel. CVE-2021-42292 позволяет обходить встроенные средства защиты и выполнять произвольный код при открытии документа.
Помимо этого, на прошлой неделе был опубликован Proof of Concept эксплойта для уязвимости CVE-2021-34484. Данная уязвимость изначально была закрыта в пользовательских и серверных версиях Windows еще в августе этого года. Тогда считалось, что это неопасная уязвимость, позволяющая удалять произвольные папки на жестком диске. Для ее эксплуатации требовался локальный доступ к компьютеру, который в принципе и так позволяет удалять данные. Исследователь Абдельхамид Насери (Abdelhamid Naceri) нашел возможность использовать баг для повышения привилегий в системе, а заодно обнаружил и способ обхода ранее выпущенного патча.
Что еще произошло:
12 ноября с почтового сервера ФБР было разослано фейковое сообщение о «кибератаке». Журналист Брайан Кребс (Brian Krebs) приводит версию самого взломщика: по его словам, он эксплуатировал уязвимость в системе регистрации новых пользователей для одного из сервисов ФБР. Через веб-интерфейс он смог инициировать отправку сообщений с почтового сервера, подставляя собственные данные в поле «тема» и в тело письма.
Эксперты «Лаборатории Касперского» анализируют последствия посещения веб-сайтов, обещающих бесплатный доступ к популярным стриминговым платформам. Чаще всего рекламируется доступ к Netflix, хотя самое популярное телешоу у мошенников от другого поставщика — «Мандалорец». Результатом посещения такого ресурса может стать как потеря средств в результате кражи платежных данных, так и установка трояна на компьютер.
Свежее вредоносное ПО для атаки на роутеры BotenaGo написано на языке Golang и включает более 30 эксплойтов для популярных устройств.
Эксперт по парольным утечкам Трой Хант (Troy Hunt) приводит примеры Beg Bounty — попыток получить деньги от владельца ресурса за обнаружение тривиальных «уязвимостей» вроде отсутствия записи DMARC. Он называет это откровенно вредным явлением, так как подобные запросы отвлекают от реально серьезных проблем. И обращает внимание на необходимость публикации контактов для передачи информации о (настоящих) уязвимостях.
Уязвимости подвержены серверы Microsoft Exchange версий 2013, 2016 и 2019, работающие на стороне заказчика. Облачный вариант сервиса Exchange Online вне опасности. Проблема была обнаружена в процессе валидации команд в Exchange Powershell, средстве автоматизации работы с сервером. Еще одна серьезная уязвимость закрыта на прошлой неделе в Microsoft Excel. CVE-2021-42292 позволяет обходить встроенные средства защиты и выполнять произвольный код при открытии документа.
Помимо этого, на прошлой неделе был опубликован Proof of Concept эксплойта для уязвимости CVE-2021-34484. Данная уязвимость изначально была закрыта в пользовательских и серверных версиях Windows еще в августе этого года. Тогда считалось, что это неопасная уязвимость, позволяющая удалять произвольные папки на жестком диске. Для ее эксплуатации требовался локальный доступ к компьютеру, который в принципе и так позволяет удалять данные. Исследователь Абдельхамид Насери (Abdelhamid Naceri) нашел возможность использовать баг для повышения привилегий в системе, а заодно обнаружил и способ обхода ранее выпущенного патча.
Что еще произошло:
12 ноября с почтового сервера ФБР было разослано фейковое сообщение о «кибератаке». Журналист Брайан Кребс (Brian Krebs) приводит версию самого взломщика: по его словам, он эксплуатировал уязвимость в системе регистрации новых пользователей для одного из сервисов ФБР. Через веб-интерфейс он смог инициировать отправку сообщений с почтового сервера, подставляя собственные данные в поле «тема» и в тело письма.
Эксперты «Лаборатории Касперского» анализируют последствия посещения веб-сайтов, обещающих бесплатный доступ к популярным стриминговым платформам. Чаще всего рекламируется доступ к Netflix, хотя самое популярное телешоу у мошенников от другого поставщика — «Мандалорец». Результатом посещения такого ресурса может стать как потеря средств в результате кражи платежных данных, так и установка трояна на компьютер.
Свежее вредоносное ПО для атаки на роутеры BotenaGo написано на языке Golang и включает более 30 эксплойтов для популярных устройств.
Эксперт по парольным утечкам Трой Хант (Troy Hunt) приводит примеры Beg Bounty — попыток получить деньги от владельца ресурса за обнаружение тривиальных «уязвимостей» вроде отсутствия записи DMARC. Он называет это откровенно вредным явлением, так как подобные запросы отвлекают от реально серьезных проблем. И обращает внимание на необходимость публикации контактов для передачи информации о (настоящих) уязвимостях.