To nye nulldagssårbarhet i Microsoft Exchange Server utnyttes aktivt. Mandiant har undersøkt ny type skadevare som angriper VMware Hypervisor.
Mandiant har undersøkt ny type skadevare som angriper VMware Hypervisor
Forskere ved Mandiant har gjennomført analyse av en ny type skadevare som angriper VMware ESXi Hypervisor. Skadevaren krever at angriperen allerede har fått tilgang til serveren for å installeres. ESXi-servere har ofte ikke installert EDR (Endpoint Detection and Response) og det kan derfor ofte være vanskelig å avsløre skadevare på denne typen enheter. Den nye skadevaren har flere metoder for å beholde administrator-tilgang, kan sende kommandoer som blir eksekvert på gjeste VMer, filoverføring mellom hypervisor og VMer, manipulering av logger og kjøre vilkårlige kommandoer mellom VMer på samme hypervisor. Mandiant har utgitt en komplett analyse av skadevaren hvor de hvor de også har delt noen IOCer relatert til Novel. VMware har også gitt ut en veiledning med råd om hvordan en kan beskytte seg mot denne nye trusselen. |
||||
Referanser | ||||
---|---|---|---|---|
https://www.mandiant.com/resources/blog/esxi-[...] https://core.vmware.com/vsphere-esxi-mandiant[...] |
To nye nulldagssårbarhet i Microsoft Exchange Server utnyttes aktivt
Cyber sikkerhetsfirmaet GTSC fra Vietnam har nylig avdekket to nye sårbarheter i Microsoft Exchange Server, som de opplyser at har blitt utnyttet siden august. Sårbarhetene minner om ProxyShell-svakheten fra 2021, men krever en autentisert bruker for å bli utnyttet. Det holder med tilgang som en vanlig epost-bruker for utnyttelse. Microsoft har sluppet en bloggpost med råd for hvordan en skal forholde seg til svakhetene og opplyser at de fungerer mot Exchange Server 2013, 2016 og 2019. Microsoft Exchange Online er ikke rammet. Microsoft jobber med en patch. Vi anbefaler alle som har on-prem Exchange-server om å sjekke denne grundig for infeksjon og unormale pålogginger. |
||||
Referanser | ||||
---|---|---|---|---|
https://msrc-blog.microsoft.com/2022/09/29/cu[...] https://www.gteltsc.vn/blog/warning-new-attac[...] |