Дайджест Jet CSIRT [18-21.06.2022]

18.06.2022

Злоумышленники могут захватить контроль над доменом с помощью ретрансляции Windows NTML

Эксперты Координационного центра CERT (CERT/CC) связывают новую атаку DFSCoerce с ранее известной PetitPotam. Передавая запрос проверки подлинности NTLM от контроллера домена в веб-службу регистрации центра сертификации или веб-службу регистрации сертификатов в системе AD CS, злоумышленник может получить сертификат, который можно использовать для получения TGT-билета из контроллера домена. Для смягчения ретрансляционных атак NTML Microsoft рекомендует включать расширенную защиту для проверки подлинности (EPA), подпись SMB и отключение HTTP на серверах AD CS.


Опубликовано исследование 15-ти критических уязвимостей в Siemens SINEC (NMS)

По данным отчета компании Claroty, наиболее опасной является уязвимость CVE-2021-33723 (оценка CVSS: 8,8), с помощью которой можно повысить привилегии до учетной записи администратора, сочетающаяся с другой уязвимостью CVE-2021-33722 (оценка CVSS: 7,2), которая позволят удаленно выполнить произвольный код. Также специалисты отмечают SQL-инъекцию CVE-2021-33729 (оценка CVSS: 8,8), используемая авторизованным злоумышленником для выполнения произвольных команд в локальной базе данных. Все исследуемые уязвимости CVE-2021-33722 до CVE-2021-33736 ранее были устранены Siemens в версии V1.0 SP2 Update 1.


Раскрыты новые детали атаки Magecart

Исследователю Жером Сегура из команды Malwarebytes удалось отследить новые элементы инфраструктуры, использующиеся в атаке Magecart. В ходе работы были обнаружены новые имена хостов и их IP-адреса, а также новые поля ввода в образце скиммера. Более того, эксперт смог найти связь со случаем проверки скиммером использования виртуальных машин. Активность с задействованных хостов выявлена как минимум с мая 2020 года и продолжается на данный момент. Специалист намерен продолжить наблюдение, так как предполагает, что атака до сих пор продолжается, но в более скрытной форме.


Раскрыты детали кампании, нацеленной на учетные записи Office365 и Outlook

Фишинговая кампания на тему голосовой почты остается одним из надежных методов социальной инженерии. После письма-оповещения о пропущенном голосовом сообщении, злоумышленник предлагает открыть вложение HTML, содержащее закодированный JavaScript. Далее код перенаправляет пользователя на контролируемый злоумышленником URL-адрес с помощью window.location.replace(), а жертве остается пройти CAPCHA и ввести свои учетные данные Office 365 или Outlook. Кампания нацелена на военную отрасль, здравоохранение, фармацевтику и другие ключевые отрасли США.