Microsoft patchetirsdag: To svakheter utnyttes allerede aktivt i forbindelse med angrep fra henholdsvis russiske aktører og ransomware. Adobe patcher flere produkter, inkludert svakhet i ColdFusion som utnyttes i angrep. Microsoft med bloggpost om phishing-verktøy som stjeler sesjonsnøkler. SAP patcher 19 svakheter.
Microsoft patchetirsdag: To svakheter utnyttes allerede i angrep
| Microsoft patcher 76 svakheter i denne månedenes patche-tirsdag. To av svakhetene blir allerede utnyttet i aktive angrep. Den første aktivt utnyttede svakheten har fått benevnelsen CVE-2023-23397. Svakheten ligger i Outlook og utnyttes ved å sende en epost med en spesielt utformet lenke. Når eposten behandles (før den åpnes), kan Outlook lures til å kontakte en ekstern server og gi fra seg en NTLMv2 hash av brukerens passord. Det hashede passordet kan i noen tilfeller brukes til innlogging ved hjelp av et NTLM relay-angrep. For å stoppe denne typen angrep er det viktig å sperre for utgående SMB-trafikk på port 445. CERT-UA (Computer Emergency Response Team of Ukraine) er kreditert for oppdagelsen av svakheten. Microsoft melder videre at en russisk aktør har brukt den i angrep mot myndigheter, forsvar-, transport- og energi-sektoren i europeiske land helt tilbake til april 2022. Den andre svakheten har fått CVE-2023-24880 og er nok en svakhet i Windows SmartScreen, som er ment å gi brukeren ekstra beskyttelse mot filer lastet ned fra Internett (Mark of the Web). En lignende svakhet ble også patchet i desember 2022. Google opplyser at svakheten har blitt brukt av grupperingen Magniber i forbindelse med ransomware-angrep. Det er også en svakhet i håndteringen av fragmenterte ICMP-pakker i Windows (CVE-2023-23415). Sårbarheten kan gjøre det mulig for en angriper å kjøre vilkårlig kode på en maskin som kan nås via nettet. Vi anbefaler å patche så fort som mulig! |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://isc.sans.edu/diary/Microsoft+March+20[...] https://msrc.microsoft.com/update-guide/en-us https://msrc.microsoft.com/blog/2023/03/micro[...] https://blog.google/threat-analysis-group/mag[...] |
Adobe patcher flere produkter, inkludert svakhet i ColdFusion som utnyttes i angrep
| Adobe har gitt ut patcher for flere av deres produkter. De advarer om at en svakhet i web-utviklingsverktøyet ColdFusion (CVE-2023-26360) allerede utnyttes i et begrenset antall angrep. Både versjon 2018 og 2022 er sårbare. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
https://helpx.adobe.com/security.html https://www.securityweek.com/adobe-warns-of-v[...] |
SAP patcher 19 svakheter
| SAP har sluppet oppdateringer for flere av sine produkter. De mest kritiske svakhetene befinner seg i SAP Business Objects Business Intelligence Platform (CMC) og SAP NetWeaver. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
https://dam.sap.com/mac/app/e/pdf/preview/emb[...] |
Microsoft med bloggpost om phishing-verktøy som stjeler sesjonsnøkler
| Microsoft advarer om at trusselaktøren DEV-1101 tilbyr et phishing-verktøy som åpen kildekode som kan brukes til å stjele sesjonsnøkler. Verktøyet støtter proxy-funksjonalitet (AiTM - Adversary in the Middle) for å hente ut engangskoder og sesjonsnøkler (sessions-cookies) fra ofrene. Verktøyet kan både kjøpes og leies med support-avtale. Det brukes av flere trusselaktører til å sende ut millioner av phishing-eposter. For å unngå å miste innloggingsdetaljer i forbindelse med denne typen angrep må en implementere autentiserinsmekanismer som er motstandsdyktige mot phishing som FIDO2 med sikkerhetsnøkler og sertifikat-basert autentisering. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://thehackernews.com/2023/03/microsoft-w[...] https://www.microsoft.com/en-us/security/blog[...] |