Blackhat SEO kampaņa izmanto ASV valsts domēnus

Vairākos ASV valsts un militāros domēnos tika izvietota Viagra un citu zāļu & narkotiku reklāma. Pie vainas izrādījās file upload caurums Laserfiche Forms programmatūrā.

Šī ievainojamība varēja tikt izmantota ticamiem phishing uzbrukumiem, bet tā vietā tika galvenokārt izmantota priekš “Blackhat SEO”. ‘.gov/.mil’ domēniem ir laba reputācija, tādēļ izvietojot tajos linkus uz uzbrucēju domēniem, Google un citos meklētājos palielinās šo krāpniecīgo domēnu reitings.

Uzlauzts Apvienoto Nāciju (UN) tīkls

Bloomberg ziņo par to, ka uzbrucējiem kopš aprīļa ir bijusi pieeja UN tīklam, kurā viņi pavadījuši vismaz 4 mēnešus.

Nav zināms uzbrukumu mērķis, taču zināms, ka uzbrukumā iegūtās paroles tika tirgotas vairākās pagrīdes platformās. Jānorāda, ka skartajās sistēmās netika lietota MFA.

Nopatchots Office 0day CVE-2021-40444

Microsoft Patch Tuesday iekļauts ielāps Office 0day caurumam, ko apskatījām pagājušajā nedēļā. Taču kā parasti ne visas sistēmas tiek nopatchotas laicīgī, līdz ar to uzbrukumi turpinās.

Ievainojamība jau izmantota vairākās kampaņās:

• Targetēti uzbrukumi, saistībā ar Ryuk ransomware
• Epasti programmētājiem ar “darba piedāvājumiem”
• Netargetēts spam

Windows WiFi RCE

Ievainojamība WLAN AutoConfig servisā ļāva saturēja patvaļīga koda ievainojamību (Remote Code Execution). Lai to izmantotu uzbrucējiem gan būtu jābūt pieslēgtiem pie viena WiFi tīkla ar savu upuru.

Azure Linux VM caurums “OMIGOD”

Atklāta kritiska ievainojamība Open Management Infrastructure komponentē, kas automātiski instalēta Azure mākonpakalpojumā strādājošās Linux virtuālajās mašīnās.

Uzbrukums izrādījās ārkārtīgi vienkāršs: ja pieprasījums nesatur Authorization headeri, tad tā autorizācija nemaz netiek pārbaudīta.

OMI komponente tika instalēta klāt Linux virtuālajām mašīnām automātiski, bet sākotnēji Microsoft paziņoja, ka automātiski to neatjaunos — tas lietotājiem būtu jādara patstavīgi. Vēlāk tomēr lielākai daļai lietotāju problēma novērsta centralizēti, Microsoft pusē.

Citi ielāpi no Patch Tuesday

Septembra Patch Tuesday saturēja divus interesantus ielāpus, kuriem pagaidām nav zināmas tehniskas detaļas, bet tām vērts pievērst uzmanību:

• CVE-2021-38632 – BitLocker diska šifrēšanas apiešana (kādā veidā tas iespējams?)
• CVE-2021-36968 – privilege escalation caur DNS protokolu

Divi 0-day Chromium bāzētos pārlūkos

Google aizlāpījusi jau desmito nulles dienas (0day) caurumu šogad, t.i. ievainojamību kas tika izmantota savvaļā pirms ražotājs par to uzzinājis.

Adobe Acrobat, Photoshop, Cold Fusion ielāpi

Izlaboti 13 kritiski caurumi Adobe Acrobat PDF redaktorā, nopietnākais no kuriem ļauj uzlauzt datoru, atverot inficētu PDF dokumentu. Līdzīgs caurums atrasts arī Photoshop programmā.

ColdFusion web-risinājumā atrasts veids, kā apiet nenosauktus drošības iestatījumus.

Uzbrukumi aviācijas industrijai

CISCO Talos publicējuši interesantu pētījumu par kādu uzbrucēju, kas vairākus gadus veicis mērķētus uzbrukumus aviācijas industrijai.

Uzbrucējs esot bijis viens cilvēks, no Nigērijas. Pētījuma rezultātā atklāts vārds, epasti, telefona numurs.

Izmantoti parasta “Remote Access Trojan” tipa ļaunatūra, kuru var brīvi nopirkt pagrīdes forumos.

Noziedznieka mērķis bija savākt pieejas datus un aktīvas sessijas, vēlāk pārdodot tos citiem uzbrucējiem.

Bitdefender publicējis REvil dekrpiptoru 

Viens dekriptors jau bijis pulicēts, bet tas bijis specifisks Kaseya uzbrukumiem. Šoreiz datus iespējams atgūt no visos REvil incidentos nokriptētām iekārtām.

Microsoft aicina atteikties no parolēm

Microsoft ļauj lietotājiem atteikties no paroļu autentifikācijas, ja tiek izmantotas drošākas metodes (piem. fiziskas drošības atslēgas).