Category: IT security novice

Odkrita kritična ranljivost Microsoft Outlook: CVE-2024-30103

Raziskovalci so odkrili kritično ranljivost za oddaljeno izvajanje kode (RCE) brez uporabniškega klikovanja, CVE-2024-30103, v programu Microsoft Outlook, ki bi jo lahko napadalci izkoristili za obhod varnostnih ukrepov in izvajanje poljubne kode z enakimi pravicami kot uporabnik.

Ranljivost je bila ugotovljena v algoritmu za ujemanje dovoljenih seznamov, ki se uporablja za Outlookove obrazce. Z oblikovanjem e-poštnih sporočil, ki vsebujejo obrazce s podključi, ki vključujejo strateško postavljene zaključne poševnice, so lahko napadalci manipulirali, kako je algoritem obravnaval te vnose.

Ta manipulacija je obšla standardne protokole validacije, kar jim je omogočilo izvajanje poljubne kode s pravicami ciljanega uporabnika, kar bi lahko privedlo do kršitev podatkov, nepooblaščenega dostopa in popolnega prevzema nad sistemom.

Microsoft je težavo rešil s popravilom algoritma za ujemanje dovoljenih seznamov, tako da je zdaj vključeval natančno ujemanje po odstranitvi zaključnih poševnic iz podključev.

Incident poudarja pomembnost implementacije večplastnega varnostnega pristopa, ki vključuje dovoljevanje aplikacij, filtriranje e-pošte in hitro nameščanje popravkov za zmanjšanje možnosti napada in odbiranja morebitnih izrabljenih vektorjev.

Metodologija izkoriščanja: Zloraba ujemanja dovoljenih seznamov z zaključnimi poševnicami

Ranljivost izhaja iz napake znotraj algoritma za ujemanje dovoljenih seznamov, ki se uporablja za Outlookove obrazce, in določa, ali je določen obrazec varen za nalaganje in izvajanje v Outlookovem odjemalcu.

Napadalci so ugotovili, da lahko z oblikovanjem e-poštnih sporočil, ki vsebujejo obrazce s podključi, ki vključujejo strateško postavljene zaključne poševnice, manipulirajo, kako algoritem obravnava te vnose.

Po podatkih Morphisec te zaključne poševnice dejansko delujejo kot mehanizem za obhod, ki omogoča, da napadalec nadzira obrazce, da zaobidejo standardne protokole validacije.

Posledično, ko ciljani uporabnik odpre e-poštno sporočilo, ki vsebuje zlonamerni obrazec, se ranljivost izkoristi in omogoči napadalcem izvajanje poljubne kode z enakimi pravicami kot uporabnik.

Implementacija popravka: Izpopolnjevanje ujemanja dovoljenih seznamov in krepitev obrambe

Microsoftov popravek je cilj rešil z modifikacijo algoritma za ujemanje dovoljenih seznamov, da zdaj izvaja natančno ujemanje, kar vključuje odstranjevanje zaključnih poševnic iz podključev pred izvedbo postopka ujemanja.

To učinkovito preprečuje tehniko manipulacije, uporabljeno v prvotnem napadu. Za dodatno zmanjšanje tveganja podobnih RCE napadov, so povečali obstoječi seznam prepovedi, da vključujejo tehnike, ki bi jih lahko uporabili za obhod revidiranih protokolov validacije.

Dolgoročni varnostni premisleki: Povečanje budnosti v spreminjajočem se grozečem okolju

Medtem ko nameščen popravek ponuja rešitev za neposredno grožnjo, ki jo predstavlja CVE-2024-30103, je njegova dolgoročna učinkovitost odvisna od zmožnosti napadalcev, da zasnujejo nove metode za obvod revidiranih protokolov validacije.

Ohranjanje posodobitev o zadnjih varnostnih grožnjah in ranljivostih postane bistveno za organizacije, da implementirajo ustrezne strategije za ublažitev tveganj.

Večplastni varnostni pristop, ki vključuje beleženje dovoljenih aplikacij, filtriranje e-pošte in hitro nameščanje popravkov, ostaja ključnega pomena za zmanjšanje možnosti napadov in odkrivanje obstoječe ranljivosti.

Z dajanjem prednosti tem ukrepom lahko organizacije znatno povečajo svojo celotno varnostno pozicijo in bolje zaščitijo svoje sisteme pred spreminjajočimi se kibernetskimi grožnjami.

Ranljivost za zavrnitev storitve (Denial of Service – DoS) obstaja v CLFS.sys, ki jo je mogoče izkoristiti z avtoriziranimi uporabniki z nizkimi privilegiji. Uspešna izraba sproži zaslon smrti (Blue Screen of Death – BSOD) z prisilnim klicem funkcije KeBugCheckEx, kar naredi prizadet sistem neuporaben do ponovnega zagona.

Za sisteme, ki poganjajo Windows 10, 11 in Server 2016-2022, ta ranljivost, ki ji je bila dodeljena oznaka CVE-2024-6768, predstavlja srednje visoko tveganje.

Ranljivost v gonilniku CLFS.sys na Windows 10, 11 in določenih strežniških verzijah omogoča avtoriziranemu napadalcu z nizkimi privilegiji, da inducira zrušitev sistema (zaslon smrti) z zlonamernim sprožilcem funkcije KeBugCheckEx.

Ta pogoj zavrnitve storitve izrablja napako v upravljanju vhodnih podatkov gonilnika, kar napadalcu omogoča, da zaobide zaščite sistema in destabilizira operacijski sistem.

Poseben mehanizem vključuje napadalca, ki ustvari zlonameren vnos, ki povzroči, da gonilnik napačno obdela podatke, kar vodi do nepričakovanega pogoja napake, ki sproži zrušitev sistema.

Ranljivost v gonilniku CLFS.sys, identificirana kot CVE-2024-6768, omogoča napadalcu z nizkimi privilegiji, da izkoristi nepravilno preverjanje vnosa z ustvarjanjem zlonamernih podatkov v .BLF datoteki.

Napaka, kategorizirana kot CWE-1284, omogoča napadalcu, da sproži pogoj zavrnitve storitve z zrušitvijo sistema, odkrita 19. decembra 2023, prizadene vse verzije Windows 10 in 11.

S CVSS oceno 5.5, je ta srednje resna težava lahko izkoriščena z napadalcem z nizkimi privilegiji, da zmanipulira sistem v izvajanje funkcije KeBugCheckEx, kar vodi do zaslona smrti (BSOD).

20. decembra 2023, je bil Microsoftu prijavljen dokaz koncepta izrabe, ki je podrobno opisal možno ranljivost, pri čemer Microsoftovi inženirji niso mogli ponoviti težave pri preiskavi 8. januarja 2024.

Vendar pa je Fortra nato 12. januarja 2024 zagotovil konkretne dokaze, vključno s posnetkom zaslona sistema Windows, ki je poganjal najnovejši januarjski Patch Tuesday in ustreznim pomnilniškim odtisom, ki je zajel zrušitev, kar je izzvalo prvo oceno Microsofta.

Prijavili so težavo Microsoftu 21. februarja 2024, ki je ni mogel reproducirati, nato so ponovili težavo 28. februarja 2024, pri čemer so zagotovili dodatne dokaze, vključno z videoposnetkom, ki dokazuje, da so februarski Patch Tuesday posodobitve povzročile težavo.

Zaradi Microsoftove nezmožnosti reševanja težave so napovedali načrte za zasledovanje CVE in javno razkritje svojih ugotovitev 19. junija 2024, z rezervacijo CVE-2024-6768 16. julija 2024, s čimer so napovedali namero za razkritje ranljivosti.

Raziskovalci so uspešno reproducirali težavo na popolnoma posodobljenih sistemih Windows 11 in Server 2022 avgusta, pri čemer so zajeli dokaze za javno razkritje, medtem ko je bil CVE uradno objavljen 12. avgusta 2024.

Preberite tudi:

Objava Nova napaka BSOD povzroča zmedo pri posodobljenih uporabnikih Windows 10 in 11 se je pojavila najprej na Cyber Security News.

Vir novice

Raziskovalci odkrili novo platformo phishing-as-a-service (PhaaS)

Strokovnjaki za kibernetsko varnost so razkrili novo prevaro, ki cilja na poverilnice Microsoft 365. Platforma, imenovana “ONNX Store,” specifično cilja na poverilnice zaposlenih v finančnih institucijah. Storitev, ki je na voljo na naročniški osnovi, uporablja sofisticirane metode za krajo poverilnic in celo obid dvofaktorske avtentikacije (2FA).

Izkoristimo moč Telegram botov

ONNX Store temelji na uporabi Telegram botov za komunikacijo s svojimi uporabniki. Ta platforma ponuja zbirko orodij, ki kibernetskim kriminalcem omogočajo enostavno izvajanje phishing napadov. S tem tudi neizkušeni napadalci pridobijo zmogljive zmožnosti za krajo poverilnic.

Lažne strani za phishing

Ena izmed ključnih funkcij ONNX Store je uporaba lažnih strani za phishing, ki posnemajo legitimne prijavne vmesnike Microsoft 365. Te strani so tako dobro zasnovane, da lahko prevarajo tudi najbolj previdne uporabnike.

Obvod dvofaktorske avtentikacije

Najbolj skrb vzbujajoč vidik ONNX Store je sposobnost obvoda dvofaktorske avtentikacije (2FA). Čeprav so podrobnosti še vedno predmet preiskave, raziskovalci sumijo, da uporabljajo tehnike za prestrezanje 2FA zahtevkov. To omogoča nepooblaščen dostop tudi takrat, ko je omogočena 2FA.

Napadi poslovne e-poštne kompromitacije (BEC)

Obvod 2FA znatno povečuje učinkovitost napadov poslovne e-poštne kompromitacije (BEC). ONNX Store pomaga kriminalcem obiti dodatno zaščito, ki jo ponuja 2FA, kar pomeni, da so njihovi napadi lahko bolj uspešni in bolj uničujoči.

Povezava z “Caffeine”

Zanimivo je, da strokovnjaki domnevajo, da je ONNX Store lahko le preimenovana različica phishing kita “Caffeine”. Te platforme delijo skupno infrastrukturo in oglašujejo svoje storitve na istih kanalih Telegrama.

Enostavnost uporabe in cenovna dostopnost

Zaskrbljujoč vidik PhaaS platform, kot je ONNX Store, je njihova enostavnost uporabe in cenovna dostopnost. To v bistvu komodificira kibernetski kriminal in omogoča tudi manj sofisticiranim napadalcem izvajanje zapletenih phishing kampanj.

Povečanje števila napadov na finančne institucije

Zaradi enostavne uporabe ONNX Store obstaja možnost znatnega povečanja števila napadov poslovne e-poštne kompromitacije (BEC), usmerjenih na finančni sektor. Te napadi lahko povzročijo znatne finančne izgube in ogrozijo varnost računov.

Pomembnost kibernetske varnosti

Po mnenju strokovnjakov iz Kasperskyja bi finančne institucije morale dati prednost kibernetskim varnostnim izobraževanjem za svoje zaposlene. Zaposlene je potrebno izobraziti o prepoznavanju phishing poskusov in pomembnosti spoštovanja varnih prijavnih praks.

Dodatni varnostni protokoli

Poleg izobraževanja zaposlenih, lahko uvedba strožjih varnostnih protokolov, kot je večfaktorska avtentikacija (MFA), ki presega preproste SMS verifikacijske kode, ponudi dodatno zaščito proti tem razvijajočim se phishing taktikam.

Prav tako preberite:

Hacker’s Toolkit Exposed: Powerful Tools for Every Cyber Attack

Zaključek

Platforme, kot je ONNX Store, predstavljajo veliko grožnjo za finančne institucije in njihovo kibernetsko varnost. Pomembno je, da organizacije sprejmejo proaktivne ukrepe za zaščito svojih sistemov in zaposlenih pred tovrstnimi napadi. Izobraževanje, uporaba naprednih varnostnih protokolov in zavedanje o novih vrstah groženj so ključni koraki za zmanjšanje tveganj kibernetskih napadov.

URL izvora novice: https://cyberpress.org/onnx-bot-tool-hacks-microsoft-365/

Severnokorejska skupina Kimsuky cilja na univerzitetne profesorje s sofisticiranimi phishing napadi

Severnokorejska APT skupina Kimsuky izvaja globalne obveščevalne operacije že od leta 2012. Njihovi cilji vključujejo predvsem Južno Korejo, Združene države Amerike ter Evropo. Skupina začenja svoje operacije z vzpostavljanjem zaupanja prek elektronske pošte in nato dostavi zlonamerne priloge.

Nedavna opozorila NSA in FBI izpostavljajo Kimsukyjevo zlorabo nepravilno konfiguriranih DMARC zapisov za skrivanje phishing poskusov. Napadalci se predstavljajo kot akademiki, novinarji in strokovnjaki za vzhodno Azijo z namenom infiltracije v ciljne organizacije.

Raziskovalci so pred kratkim izkoristili OPSEC napako Kimsukyja ter pridobili občutljive podatke, vključno z izvorno kodo, poverilnicami, dnevniki ter internimi dokumenti skupine.

Analiza podatkov nakazuje, da Kimsuky cilja na univerzitetno osebje za vohunjenje, krajo raziskav in obveščevalnih podatkov, ki koristijo severnokorejskemu Generalnemu obveščevalnemu uradu. To se ujema s Kimsukyjevim zgodovinskim ciljanjem na jedrski, zdravstveni in farmacevtski sektor, kar nakazuje širšo obveščevalno kampanjo za krepitev severnokorejskih znanstvenih sposobnosti.

Kimsuky izkorišča kompromitirane internetne gostitelje, vključno z audko [trgovina], dorray [spletno mesto] in drugimi, kot izhodišča za napade. Na teh ogroženih sistemih uvedejo spremenjeno različico spletne lupine Indrajith Mini Shell 2.0, imenovano “Zeleni dinozaver”.

Spletna lupina, ki je brez nepotrebnih funkcij za izogibanje odkritju, omogoča operaterjem nalaganje, prenašanje, preimenovanje in brisanje datotek. Tako omogoča vzpostavitev phishing spletnih strani.

Operaterji Kimsuky so ustvarili phishing strani s kloniranjem zakonitih univerzitetnih portalov za prijavo, specifično ciljanih na Dongduk, Korejsko in Yonsei univerze ter Naver račune.

Spremenili so klonirane strani za izčrpavanje uporabniških poverilnic z onemogočanjem prvotnega šifriranja gesel in preusmeritvijo poskusov prijave na zlonamerno PHP skripto. Ta zajame uporabniško ime, geslo in podatke o poskusu prijave ter jih pošlje na oddaljeni strežnik za nadaljnjo izrabo.

Igralci groženj so kompromitirali prijavno stran Dongduk University tako, da so obšli standardno šifriranje in preusmerili poskuse prijave na zlonamerno PHP skripto, ki beleži ukradene poverilnice v lokalno datoteko. Napad tako prikazuje neuspešno prijavo ob prvem poskusu in uspešno ob drugem.

Za privabljanje žrtev, skripta preusmeri uspešne poskuse prijave na phishing PDF, gostovan na Google Drive, ki posnema zakonito povabilo.

PDF in z njim povezan Google račun izkazujeta močne povezave z Južno-Severnokorejsko izmenjavo in združenjem za podporo sodelovanja, kar se ujema z nedavnim opozorilom o phishingu s strani Asan Inštituta.

Po navedbah Resilience, Kimsuky phishing kampanja uporablja spremenjeno JavaScript kodo za krajo prijavnih poverilnic za Korejsko univerzo in Yonsei univerzo.

Phishing strani posnemajo zakonite prijavne strani in preusmerjajo žrtve na resnične prijavne strani po pridobitvi poverilnic. Medtem se uporablja phishing orodje, ki ni specifično za cilj, za krajo Naver računov z uporabo ponarejene prijavne strani in pojavnih sporočil.

Kims