Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring. Ny PureLogs variant bruker "process hollowing" via MsBuild.exe. Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør.
Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring
En kritisk sårbarhet er oppdaget i Veeam Backup & Replication og kan gi autentiserte domenebrukere mulighet til å utføre kode eksternt på backupserveren. Sårbarheten påvirker domenetilknyttede installasjoner av Veeam Backup & Replication versjon 12.3.0.310 og alle tidligere versjoner i 12 serien. Feilen skyldes utilstrekkelig validering av brukerinput i Veeam komponenter som er tilgjengelige for domenebrukere. En angriper med gyldig domenekonto kan sende spesiallagde forespørsler til backupserveren og oppnå kjøring av vilkårlig kode. Veeam har publisert sikkerhetsoppdateringer i versjon 12.3.1 for å løse sårbarheten. Backupsystemer er attraktive mål fordi kompromittering kan gi tilgang til sikkerhetskopier og påvirke gjenoppretting etter ransomwareangrep.
Oppgrader til Veeam Backup & Replication 13.0.2.29 uten forsinkelse og begrens privilegier for lokale brukere på backup-systemer.
Ny PureLogs variant bruker "process hollowing" via MsBuild.exe
En ny variant av PureLogs malware distribueres gjennom phishingeposter som utgir seg for å være innkjøpsordrer med vedlagte arkivfiler. Angrepet starter med en obfuskert JavaScript fil som dekrypterer og kjører et PowerShell skript som igjen laster en kryptert .NET modul direkte i minnet. Kampanjen bruker prosesshuling mot Windows prosessen MsBuild.exe for å skjule kjøringen av skadevaren og redusere synlighet for sikkerhetsverktøy. Den nedlastede .NET modulen er forkledd som en legitim Windows Task Scheduler komponent og kommuniserer med en ekstern C2 server for å hente flere moduler. PureLogs er utviklet for å stjele nettleserdata, legitimasjon, kryptolommebokfiler og systeminformasjon fra kompromitterte Windows systemer. Angrepet benytter flere lag med obfuskering, filløs kjøring og legitime Windows komponenter for å gjøre analyse og deteksjon vanskeligere.
Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør
Microsoft advarte mot offentlig publisering av zero-day-sårbarheter uten forhåndskoordinering med leverandøren etter at flere Windows-relaterte sårbarheter ble publisert før sikkerhetsoppdateringer var tilgjengelige. De berørte sårbarhetene inkluderer RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma og MiniPlasma, hvor flere av dem gir SYSTEM-rettigheter eller påvirker sikkerhetsmekanismer som Windows Defender og BitLocker. Ifølge Microsoft ble tekniske detaljer og proof-of-concept-kode gjort offentlig uten Coordinated Vulnerability Disclosure (CVD), noe som økte eksponeringsvinduet for ubeskyttede systemer. BlueHammer, RedSun og UnDefend er beskrevet som sårbarheter som allerede har vært brukt i aktive angrep. Microsoft opplyser at manglende forhåndsvarsling kompliserer utvikling av mitigeringer og sikkerhetsoppdateringer. Selskapet fremhever at angripere aktivt overvåker offentlige disclosures for å utvikle exploit-kode før patcher er tilgjengelige.
Følg Microsofts sikkerhetsoppdateringer tett og implementer patcher umiddelbart når de blir tilgjengelige.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.