Дайджест Jet CSIRT [29.06.2021]

29.06.2021

Microsoft подверглась атаке на цепочку зависимостей

 

Исследователь безопасности Рикардо Ирамар дос Сантос, проводя аудит пакета SymphonyElectron с открытым исходным кодом, обнаружил зависимость в виде подгружаемого пакета swift-search, который отсутствовал в общедоступном реестре npmjs.com. Рикардо Сантос зарегистрировал собственный пакет с тем же именем в реестре npm. Через несколько часов после публикации исследователь обнаружил поступление ответов от сервера Microsoft Halo. Некоторые данные, возвращаемые с сервера Microsoft, включали имя пользователя системы, пути к средам разработки приложений, различные идентификаторы и т.д.


Опубликован PoC-эксплойт критичной уязвимости в диспетчере очереди печати Windows

 

PоС-эксплойт был разработан специалистами китайской компании Sangfor и выложен на GitHub для использования на соревновании Tianfu Cup. Несмотря на то, что материалы были удалены через несколько часов, клонированный репозиторий оперативно разлетелся по закрытым группам. CVE-2021-1675, исправленная Microsoft в начале июня, представляет собой уязвимость в диспетчере очереди печати (spoolsv.exe), эксплуатация которой приводит к удаленному выполнению кода (RCE).


REvil нацелились на виртуальные машины ESXi

 

Специалисты кибербезопасности из команды MalwareHunterTeam обнаружили версию вымогателя REvil для Linux систем, развернутых на серверах ESXi. Хэши файлов, связанные с шифровальщиком, были собраны исследователем Хайме Бласко и опубликованы на Alienvault's Open Threat Exchange.