Ny sårbarhet i Microsoft Exchange Server. === Tycoon2FA kaprer Microsoft 365-kontoer via device code-phishing. === Ny Windows-nulldagssårbarhet «MiniPlasma» gir SYSTEM-tilgang, PoC publisert.
Ny sårbarhet i Microsoft Exchange Server
Microsoft Exchange Server er rammet av en høy alvorlig sårbarhet (CVE‑2026‑42897, CVSS 8.1) som kan utnyttes eksternt og føre til kjøring av kode i brukerens nettleser (XSS/spoofing). Sårbarheten påvirker Exchange Server 2016, 2019 og Subscription Edition (SE). Det finnes per nå ingen kjente aktive utnyttelser, men risikoen vurderes som høy på grunn av utbredt bruk av produktet. Microsoft anbefaler å sikre at Exchange Emergency Mitigation Service (EEMS) er aktivert og å følge opp med nødvendige oppdateringer.
Vær oppmerksom på at NIST(NVD) klassifiserer den som Medium(CVSS score 6.1), mens Microsoft selv klassifiserer den som High.
Anbefalte tiltak:
Aktiver og verifiser Exchange Emergency Mitigation Service (EEMS) på alle Exchange‑servere.
Installer siste sikkerhetsoppdateringer for Exchange Server i henhold til Microsofts veiledning.
Reduser eksponering:
Begrens ekstern tilgang til OWA og administrasjonsendepunkter der det er mulig.
Sikre at MFA er aktivert for Exchange‑brukere og administratorer.
Øk overvåking:
Følg med på mistenkelig nettleseraktivitet (XSS/JavaScript).
Overvåk påloggingsavvik og uvanlige tilgangsmønstre mot Exchange.
Plan for hendelseshåndtering: Sørg for at rutiner er klare dersom indikasjoner på utnyttelse oppdages.
Se artikkeltekst
Tycoon2FA kaprer Microsoft 365-kontoer via device code-phishing
Tycoon2FA benytter nå device code phishing for å kompromittere Microsoft 365-kontoer. Angrepene starter ved at brukeren lokkes til å autentisere seg via Microsofts legitime microsoft.com/devicelogin-side med en angriperkontrollert device code. Dette gir angriperne OAuth access- og refresh-tokens som kan brukes til vedvarende tilgang til både e-post, filer og andre Microsoft 365-tjenester.
Kampanjene bruker legitime Trustifi-URL-er, flere omdirigeringer og obfuskert JavaScript for å skjule phishing-flyten og vanskeliggjøre analyse. I tillegg inkluderer Tycoon2FA også mekanismer for å oppdage og blokkere sandkasser, VPN-er og automatiserte sikkerhetsverktøy.
For å unngå slike angrep bør man vurdere å deaktivere device code flow dersom funksjonen ikke er nødvendig, i tillegg til at man burde kreve administratorgodkjenning for OAuth-applikasjoner.
Ny Windows-nulldagssårbarhet «MiniPlasma» gir SYSTEM-tilgang, PoC publisert
En sikkerhetsforsker har publisert en "proof of concept" utnyttelse for en nulldagssårbarhet i Windows kalt «MiniPlasma», som gjør det mulig å eskalere privilegier til SYSTEM-nivå på fullt oppdaterte systemer.
Sårbarheten påvirker Cloud Filter-driveren (cldflt.sys) og ble opprinnelig rapportert i 2020 som CVE-2020-17103, men skal ifølge forskeren fortsatt være urettet til tross for tidligere patch. Det har ikke blitt opprettet en ny CVE for sårbarheten.
Utnyttelsen er offentlig tilgjengelig på GitHub og er bekreftet å fungere på nyeste versjon av Windows 11, selv om den ikke fungerer i nyere Insider-bygg.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.