CISA a ordonat agențiilor FCEB din SUA să-și securizeze sistemele Windows împotriva unei vulnerabilități de severitate ridicată în Serviciul de Streaming Microsoft (MSKSSRV.SYS) care este exploatată activ în atacuri.
Defectul de securitate (urmarit ca CVE-2023-29360) se datorează unei slăbiciuni de referință a pointerului neîncrezător care permite atacatorilor locali să obțină privilegii de SISTEM în atacuri de complexitate redusă care nu necesită interacțiunea utilizatorului.
CVE-2023-29360 a fost descoperit de Thomas Imbert de la Synactiv în Serviciul de Proxy pentru Streaming Microsoft (MSKSSRV.SYS) și raportat către Microsoft prin Zero Day Initiative a Trend Micro. Redmond a remediat bug-ul în timpul Patch Tuesday din iunie 2023, iar codul de exploitare a conceptului de probă a fost publicat pe GitHub trei luni mai târziu, pe 24 septembrie.
Agenția de securitate cibernetică din SUA nu a furnizat detalii cu privire la atacurile în curs, dar a confirmat că nu s-au găsit dovezi că această vulnerabilitate a fost folosită în atacuri de tip ransomware.
CISA a adăugat, de asemenea, bug-ul la Catalogul său de Vulnerabilități Exploatate Cunoscute în această săptămână, avertizând că astfel de bug-uri de securitate sunt „vectori de atac frecventi pentru actorii cibernetici răuvoitori și prezintă riscuri semnificative pentru întreprinderea federală”. În conformitate cu o directivă operațională obligatorie (BOD 22-01) emisă în noiembrie 2021, agențiile federale trebuie să remedieze sistemele lor Windows împotriva acestui bug de securitate în termen de trei săptămâni, până la 21 martie.
Deși catalogul KEV al CISA se concentrează în principal pe alertarea agențiilor federale cu privire la defectele de securitate care ar trebui să fie abordate cât mai curând posibil, organizațiile private din întreaga lume sunt, de asemenea, sfătuite să-și prioritizeze remedierea acestei vulnerabilități pentru a bloca atacurile în curs.
Compania de securitate cibernetică americană-israeliană Check Point a furnizat mai multe informații despre această vulnerabilitate luna trecută, afirmând că atacurile malware Raspberry Robin au exploatat CVE-2023-29360 începând cu august 2023.
„După ce am analizat mostre de Raspberry Robin înainte de octombrie, am constatat că a folosit, de asemenea, un exploit pentru CVE-2023-29360. Această vulnerabilitate a fost făcută publică în iunie și a fost folosită de Raspberry Robin în august,” a declarat Check Point.
„Chiar dacă aceasta este o vulnerabilitate destul de ușoară de exploatat, faptul că autorul exploitului avea o mostră de lucru înainte ca să existe un exploit cunoscut pe GitHub este impresionant, la fel de impresionantă fiind viteza cu care Raspberry Robin l-a folosit.”
Raspberry Robin este un malware cu capacități de vierme care a apărut în septembrie 2021 și se răspândește în principal prin stick-uri USB. Deși creatorii săi sunt necunoscuți, a fost asociat cu mai multe grupuri de infractori cibernetici, inclusiv EvilCorp și gangul de ransomware Clop.
Microsoft a declarat în iulie 2022 că a detectat malware-ul Raspberry Robin în rețelele a sute de organizații din diferite sectoare industriale.
De la descoperirea sa, acest vierme a evoluat continuu, adoptând tactici noi de distribuție și adăugând caracteristici noi, inclusiv o evitare în care lasă sarcini fictive pentru a induce în eroare cercetătorii.
Hackerii au folosit un zero-day nou de la Windows Defender pentru a distribui malware-ul DarkMe
Malware-ul Raspberry Robin evoluează cu acces timpuriu la exploatarea Windows
Directiva de urgență CISA: Mitigați zero-urile Ivanti imediat
CISA împinge agențiile federale să remedieze RCE-ul Citrix într-o săptămână
Malware-ul abuzează de punctul final Google OAuth pentru a „revigora” cookie-urile, a prelua conturile
Leave a Reply