Обнаружены новые волны атак Jupiter Infostealer
Специалисты VMware Carbon Black выпустили блог об обновлении инфостилера Jupiter. Инфостилер Jupiter, написанный на .NET, известен методами манипуляции с поисковой оптимизацией и вредоносной рекламой, которые используются для обмана пользователей. Обновленная версия ПО способна не только собирать учетные данные, но и устанавливать зашифрованное соединение с C2 для кражи данных и возможности выполнять произвольные команды. Исследователи обнаружили новые атаки Jupiter, которые используют модификации команд PowerShell и подписи закрытых ключей в попытках выдать вредоносное ПО за законно подписанный файл.
Microsoft Exchange подвержен сразу четырем 0-day уязвимостям
Эксперты ZDI (Zero Day Initiative) раскрыли критические уязвимости, требующие немедленных действий. Среди них ZDI-23-1578 (критичность 7.5) — уязвимость удаленного выполнения кода в классе 'ChainedSerializationBinder', где данные пользователя не проверяются должным образом, что позволяет злоумышленникам десериализовать ненадежные данные. Успешное использование этой уязвимости позволяет атакующему выполнять произвольный код от имени 'SYSTEM' — с наивысшими привилегиями в Windows. ZDI-23-1579 (критичность 7.1), связанная с методом 'DownloadDataFromUri', возникает из-за недостаточной проверки URI перед доступом к ресурсу, что может привести к несанкционированному доступу к конфиденциальной информации серверов Exchange. ZDI-23-1580 (критичность 7.1) и ZDI-23-1581 (критичность 7.1) связаны с неправильной проверкой URI, что также может привести к утечке конфиденциальной информации.
Рекомендуется внедрение многофакторной аутентификации для предотвращения доступа киберпреступников к экземплярам Exchange даже в случае компрометации учетных данных.
Windows 11 прекращает поддержку SMB1
Начиная с Windows XP SP2 и до упомянутого релиза при создании общих ресурсов SMB автоматически устанавливались правила брандмауэра в группе «Общий доступ к файлам и принтерам» для указанных профилей брандмауэра. После релиза новой сборки Windows 11 настроит обновленную группу «Общий доступ к файлам и принтерам (Restrictive)», исключив входящие порты NetBIOS 137–139, которые являются артефактами SMB1. Помимо этого, компания Microsoft решила отказаться от трех функций и сервисов Windows, в том числе от WebDAV в Windows 10 и Windows 11. В «черный список» также попали протокол Remote Mailslots и служба Computer Browser. Как заявляет Microsoft, причиной отмены этих инструментов стало их несоответствие современным стандартам безопасности. Уже появились более передовые и надежные технологии, которым разработчики и отдадут предпочтение.
Обнаружена новая уязвимость, связанная с кражей NTLM-токенов в Microsfot Access
Специалисты Check Point Research обнаружили уязвимость в Microsoft, которая позволяет киберпреступнику использовать функцию «Связывание с удаленными таблицами SQL Server» для автоматической утечки NTLM-токенов пользователя Windows на сервер злоумышленника через любой TCP-порт, включая порт 80. Для выявления атаки Check Point выпустила сигнатуру IPS под названием «Microsoft Windows NTLM Information Disclosure» и реализовала обнаружение файлов Microsoft Access (.accdb), содержащих объекты, приводящие к утечке NTLM как Trojan.Wins.LinkedTable.A или Trojan.Wins.LinkedTable.B. Исследователи рекомендуют не открывать вложения из недостоверных источников, а также отключить макросы в MS Access или удалить их из системы, если они не являются обязательными для установки пакета Office.
Злоумышленники используют файлообменник DRACOON.team для фишинговых атак
Исследователи TrendMicro обнаружили фишинговую компанию, в которой использовался безопасный инструмент для обмена файлами DRACOON.team, чтобы обманом заставить пользователей раскрыть учетные данные для входа в Microsoft 365. В отличие от предыдущих фишинговых кампаний, в этой используется промежуточная ссылка в размещенных документах, что затрудняет обнаружение и обход типичных мер безопасности электронной почты. Эксперты также идентифицировали вредоносный JavaScript (myscr759609.js), который отвечает за сбор учетных данных и последующую публикацию данных. TrendMicro советует пострадавшим пользователям обновить свои пароли, чтобы снизить опасность, связанную с этой попыткой фишинга, проводить регулярные ознакомительные занятия и комплексные обучающие программы для обучения пользователей, а также внедрить многофакторную аутентификацию.