Исследователи ThreatLabz Zscaler связали недавно обнаруженный образец нового вредоносного ПО LilithBot с группой Eternity (также известной как EternityTeam или Eternity Project).

Eternity ведет разработку одноименной вредоносной ПО как услуги (MaaS).

В мае в рамках расследования исследователи Cyble обнаружили и проанализировали Tor-маркетплейс Eternity Project, который предлагает к продаже широкий спектр вредоносных ПО, включая стилеры, майнеры, программы-вымогатели и DDoS-боты.

Как выяснилось, у операторов также есть Telegram-канал с 500 подписчиками, который использовался для обсуждения ассортимента редоносных ПО и обновлениях. Кроме того, операторы проекта позволяют своим клиентам настраивать бинарные функции через канал Telegram.  

Операторы продают модуль Stealer за 260 долларов в виде годовой подписки. Он позволяет красть достаточно много конфиденциальной информации из зараженных систем, включая пароли, файлы cookie, кредитные карты и криптокошельки. Украденные данные эксфильтрируются через Telegram Bot.

Модуль Eternity Miner стоит 90 долларов. Клиенты могут настроить его с помощью собственного пула Monero и функций AntiVM.

Операторы Eternity также продают вредоносное ПО clipper за 110 долларов, оно отслеживает буфер обмена на наличие криптовалютных кошельков и подменяет их адресом кошелька злоумышленников.

Eternity Ransomware стоит 490 долларов, а Eternity Worm — 390 долларов.

По словам Cyble, операторы, стоящие за проектом Eternity, также разрабатывают вредоносный код DDoS Bot, заимствующий код из репозитория Github.

LilithBot — передовое многофункциональное вредоносное ПО, распространяемое группой Eternity через выделенный канал Telegram по модели MaaS, которое можно приобрести через Tor.

При этом злоумышленники постоянно улучшают вредоносное ПО, добавляя новые функции, в том числе средства защиты от отладки и проверки против виртуальных машин.

LilithBot может украсть всю информацию (история браузера, файлы cookie, изображения и снимки экрана) из зараженных систем, а затем загрузить себя в виде zip-файла в C2.

Отчет ресерчеров включает технические сведения и индикаторы компрометации IOC, а также MITRE ATT&CK.

VMware сообщила об исправлениях уязвимости vCenter Server, которая могла привести к RCE.

Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.

Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.

Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.

Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.

VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.

CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.

Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG. 

Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.

VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.

Критическая RCE-уязвимость в корпоративном ПО Zimbra Collaboration Suite, широко распространенном веб-клиенте и почтовом сервере, подвергается активной эксплуатации. При этом доступные исправления для устранения этой проблемы отсутствуют.

0-day отслеживается как CVE-2022-41352 и имеет рейтинг CVSS 9.8.

Согласно Rapid7, ошибка связана с методом (cpio) и позволяет злоумышленникам возможность загружать произвольные файлы через Amavis (система безопасности электронной почты) произвольные файлы и выполнять вредоносные действия на уязвимых установках.

Rapid7 также отметил, что CVE-2022-41352 фактически идентична CVE-2022-30333 — уязвимости обхода пути в Unix-версии утилиты RARlab unRAR, которая была обнаружена ранее в июне этого года.

Компонент cpio имеет недостаток, который позволяет злоумышленнику создавать архивы, которые можно извлечь в любом месте файловой системы, доступной для Zimbra.

Когда электронное письмо отправляется на сервер Zimbra, система безопасности Amavis извлекает архив для проверки его содержимого на наличие вирусов. Однако, если он извлекает специально созданный архив .cpio, .tar или .rpm, содержимое может быть извлечено в веб-корневой каталог Zimbra.

Успешное использование уязвимости позволяет злоумышленнику перезаписать корневой каталог Zimbra, внедрить шелл-код и получить доступ к учетным записям других пользователей.

Согласно сообщениям на форумах Zimbra, уязвимость нашла свое применение уже с начала сентября 2022 года.

После чего 14 сентября Zimbra выпустила рекомендации по безопасности, предупредив системных администраторов о необходимости установить Pax, портативную утилиту для архивирования, и перезапустить свои серверы для замены cpio.

Уязвимость, присутствующая в версиях 8.8.15 и 9.0 ПО, затрагивает несколько дистрибутивов Linux, таких как Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 и CentOS 8, за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.

0-day отслеживается как CVE-2022-41352 и за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.

Zimbra заявила, что ожидает, что уязвимость будет устранена в следующем программном патче, который исключит cpio, сделав pax обязательным компонентом. Тем не менее, разработчик не представил конкретных сроков исправления.

Еще большую тревогу вызывает то, что Zimbra, как говорят, еще более уязвима для другого 0-day, вызывающего повышение привилегий, который может быть использован с связке уязвимостью cpio для достижения полной удаленной компрометации серверов.

Новый  отчет Rapid7 проливает свет на технические детали и включает PoC, который позволяет злоумышленникам легко создавать вредоносные архивы.

Администраторам следует принять срочные меры для защиты своих ZCS.

Fortinet в частном порядке предупредила клиентов об уязвимости в системе безопасности, затрагивающей брандмауэры FortiGate и веб-прокси FortiProxy.

Критическая уязвимость CVE-2022-40684 имеет оценку CVSS 9,6 и связана с уязвимостью обхода аутентификации, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные операции в административном интерфейсе с помощью специально созданных запросов HTTP или HTTPS.

Ошибка затрагивает следующие версии FortiOS с 7.0.0 до 7.0.6 и с 7.2.0 до 7.2.1, FortiProxy с 7.0.0 на 7.0.6 и 7.2.0. Fortinet откладывает публичное раскрытие уязвимости и подробности атак с ее использованием до тех пор, пока ее клиенты не применят исправления.

Проблема исправлена в FortiOS 7.0.7 и 7.2.2, а также в версиях FortiProxy 7.0.7 и 7.2.1.

Принимая во внимание возможность удаленной эксплуатации этой проблемы и доступность, согласно поиску Shodan, более 100 000 брандмауэров FortiGate в сети, Fortinet настоятельно рекомендует всем клиентам с уязвимыми версиями выполнить немедленное обновление.

В качестве временного обходного пути Fortinet рекомендует пользователям отключить администрирование HTTPS с выходом в Интернет до тех пор, пока не будут установлены обновления, или, в качестве альтернативы, ограничить IP-адреса, которые могут получить доступ к административному интерфейсу с помощью локальной политики.

Недавно сообщалось о взломе ADATA вымогателями RansomHouse, которые угрожали слить украденный ТБ данных.

После собственного расследования тайваньский производитель чипов информацию об инциденте не подтвердил, заявив о публикации RansomHouse на своем DLS файлов, которые были украдены еще в мае в ходе ranosmware-атаки RagnarLocker.

Сравнивая временные метки данных в образцах RansomHouse с данными, украденными RagnarLocker, ресерчеры пришли к выводу, что оба набора массива имеют одинаковые временные метки, а файлы новее мая 2021 года отсутствуют.

Кроме того, компания добавила, что RansomHouse не оставил даже заметки о выкупе. Тем не менее, хакеры продолжают настаивать на том, что они все же взломали ADATA и вели переговоры с компанией по поводу выкупа.

Учитывая богатый опыт и предыдущих жертв RansomHouse, вполне вероятно, что переговоры оказались продуктивными для обеих сторон.

Будем посмотреть.

@Social_engineering — самое крупное Telegram комьюнити, которое объединило в себе всех любителей и экспертов в области информационной безопасности, социальной инженерии и OSINT!

А вот, Intel подтвердила подлинность утечки исходного кода UEFI BIOS процессоров Alder Lake.

Alder Lake — это линейка процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.

В пятницу пользователь Freak в Twitter опубликовал ссылки на исходники прошивки UEFI, которая, как они утверждают, была выпущена 4chan. Весь исходный код был разработан Insyde Software Corp, компанией-разработчиком прошивки для систем UEFI.

Репозиторий GitHub с именем «ICE_TEA_BIOS» был загружен пользователем с именем LCFCASD, который добавил к нему описание «Код BIOS из проекта C970».

Как выяснилось, утечка содержит 5,97 ГБ файлов, включая исходный код, закрытые ключи, журналы изменений и инструменты компиляции, последняя временная метка которых датирована 30 сентября этого года.

Слитые файлы содержат многочисленные ссылки на Lenovo, в том числе код для интеграции с «Lenovo String Service», «Lenovo Secure Suite» и «Lenovo Cloud Service».

Как предполагают в Intel, проприетарный код UEFI, по-видимому, был украден третьей стороной, правда непонятно, был ли исходный код украден во время кибератаки или действовал инсайдер.

Безусловно, Intel пытается преуменьшить риски безопасности, связанные с утечкой исходного кода, который, как они уверяют, включен в BugBounty.

Однако, ресерчеры придерживается иного мнения и предупреждают, что утечка может упростить поиск уязвимостей в коде.

Hardened Vault прямо заявляют, что злоумышленники непременно извлекут огромную выгоду из утечек, даже если утечка OEM-реализации лишь частично используется в производстве.

Ресерчер Марк Ермолов из Positive Technologies также отмечает, что утечка включала закрытый ключ шифрования KeyManifest, закрытый ключ, который используется для защиты платформы Intel Boot Guard.

Если вам "до лампочки" на безопасность, то теперь вполне уместно уточнить до какой лампочки конкретно, так как хакеры способны провести ослепительную атаку в прямом и переносном смысле.

В линейке умных светильников от IKEA были обнаружены две уязвимости, которые позволяют злоумышленнику получить контроль над системой и включать лампочки на полную мощность.

Специалисты из Synopsys продемонстрировали, как злоумышленник может получить контроль над лампочками в интеллектуальной системе освещения Ikea Tradfri.

Для этого достаточно несколько раз отправить один и тот же неправильно сформированный фрейм Zigbee (IEEE 802.15.4), а затем воспользоваться двумя уязвимостями отслеживаемыми как CVE-2022-39064 и CVE-2022-39065 в системе освещения, причем пользователи не могут выключить их через приложение или пульт дистанционного управления.

В отчете Synopsys пояснили, что искаженный фрейм Zigbee представляет собой широковещательное сообщение, не прошедшее проверку подлинности, что означает об уязвимости всех устройств в пределах радиодиапазона.

Чтобы хоть как-то избежать этой атаки, пользователь должен вручную выключить и снова включить питание, однако злоумышленник может повторно воспроизвести атаку в любое время. Кейс можно смело вписать в мануал "как достать соседа".

Synopsys сообщила Ikea об уязвимостях умного освещения еще в июне 2021 года, а компания выпустила исправление в феврале 2022 года.

Однако со слов исследователей версия V-2.3.091 исправляет проблемы только с некоторыми искаженными кадрами, но не со всеми, и поделились видео с эксплойтом. IKEA пока не дала комментариев по поводу того, когда будет выпущен полный патч.

Октябрьские обновления безопасности для Android содержат исправления более 50 уязвимостей, включая критический недостаток в компоненте Framework.

Критическая как CVE-2022-20419 представляет собой ошибку раскрытия информации и была устранена с помощью уровня исправления безопасности 2022-10-01 вместе с пятью другими уязвимостями в Framework, которые могут привести к несанкционированному получению привилегий. раскрытию информации и отказу в обслуживании (DoS).

Согласно бюллетеню Google, наиболее серьезной из этих проблем - критическая бага в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных привилегий на выполнение.

Пакет исправлений 2022-10-01 также устранил девять других уязвимостей безопасности, влияющих на компоненты: Media Framework (две ошибки раскрытия информации) и SYSTEM (три повышения привилегий, три раскрытия информации и одна проблема DoS).

Вторая часть уровень исправлений безопасности 2022-10-05 разрешает в общей сложности 33 проблемы, влияющие на ядро Android, а также на компоненты ядра, Imagination Technologies, MediaTek, UNISOC и Qualcomm. Некоторые из недостатков Qualcomm имеют оценку критических.

Кроме того, Google также анонсировала исправления для девяти уязвимостей в устройствах Pixel и затрагивающих: непосредственно Pixel (4 уязвимости), компоненты Qualcomm (3), а также компоненты Qualcomm с закрытым исходным кодом (2).

Из четырех уязвимостей в компоненте Pixel двум присвоен критический уровень серьезности. Ошибки CVE-2022-20231 и CVE-2022-20364 могут привести к повышению привилегий.

Обновленные до уровня исправлений безопасности от 05.10.2022 устройства Pixel будут содержать исправления для всех перечисленных выше уязвимостей.

Ресерчер Майкл Хайнцл обнаружил в продукте Horner Automation Cscape 7 RCE-уязвимостей высокой степени серьезности (4 - в 2021 году и еще 3 - в 2022 году), которые могут быть использованы с помощью вредоносных файлов шрифтов.

Horner Automation - это американская компания, специализирующаяся на решениях для автоматизации промышленных процессов и зданий. ПО ПЛК Cscape реализует программирование релейных схем и возможности разработки операторского интерфейса.

Что важно, Cscape используется во всем мире, в том числе в критически важных производственных секторах.

Уязвимости связаны с переполнением буфера кучи, чтением/записи за пределами границ, а также проблемами с неинициализированными указателями, вызванными неправильной проверкой данных пользователя, когда приложение анализирует шрифты.

Злоумышленник может использовать недостатки для выполнения произвольного кода в контексте текущего процесса, заставив пользователя открыть специально созданный файл шрифта, поскольку приложение включает в себя специальные функции для работы со шрифтами.

Открытие файла вредоносного шрифта может привести к тому, что код злоумышленника будет выполнен с привилегиями пользователя, запустившего приложение.

Первая группа уязвимостей была раскрыта в мае 2022 года, а рекомендации по второй серии уязвимостей были опубликованы в начале октября.

Кстати, за последние два года именно Хайнцл нашел и раскрыл уязвимости в промышленных продуктах Elcomplus, ПО для программирования ПЛК CX-Programmer от Omron, в Fuji Electric для мониторинга и управления производством Tellus, промышленной системе управления энергопотреблением DIAEnergie от Delta Electronics, а также в myPRO/SCADA.

Toyota Motor Corporation раскрывает утечку данных после того, как ключ доступа был опубликован на GitHub.

Компания предупреждает клиентов, что их личная информация могла быть раскрыта, поскольку ключ доступа был общедоступен на протяжении пяти (!) лет.

Toyota T-Connect — это официальное приложение для владельцев автомобилей Toyota, которое позволяет связать смартфон с мультимедиа автомобиля, открывая функции звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и др.

Недавно компания обнаружила, что часть исходного кода T-Connect была ошибочно опубликована на GitHub и содержала ключ доступа к серверу данных, что позволило злоумышленникам получить доступ к данным почти 300 тысяч клиентов за последние пять лет.

Лишь 15 сентября 2022 г. доступ к репозиторию GitHub был ограничен, а ключи базы данных были изменены

Обычно GitHub проводит сканирование опубликованного кода на наличие секретов и блокировку коммитов кода, содержащих ключи аутентификации, однако если разработчик использует нестандартные токены, как в случае Toyota, такая возможность отсутствует.

Согласно заявлению Toyota, имена клиентов, данные кредитных карт и номера телефонов не были скомпрометированы, а в отношении других сведений, включая номера и адреса электронной почты, автопроизводитель пояснить ничего не может, как и опровергнуть.

Toyota в связи с этим рекомендует пользователям, «управляя мечтой», проявлять бдительность на предмет возможного фишинга или прочего скама от имени бренда.

В Германии назревает серьезный скандал.

Под ударом находится глава Федерального управления кибербезопасности Германии (BSI) Арне Шенбом, которого обвиняют в связях с российскими спецслужбами.

Поводом для претензий стало расследование вещательной компанией ZDF, обнаружившей потенциальные связи чиновника с Москвой через ассоциацию, в которой он был соучредителем в 2012 году.

Упоминаемая в расследовании ассоциация - Совет по кибербезопасности Германии, ведет консультации бизнеса и госструктур по вопросам ИБ.

Журналистское расследование даже стало причиной отмены совместного выступления Шенбома и министра внутренних дел Нэнси Файзер, посвященного отчету о кибербезопасности Германии в 2022 году, ведь Шенбом теперь стал объектом официальной проверки МВД.

По мнению журналистов, Шенбом до сих пор поддерживает связь с организацией. Сам политик отверг обвинения, указав на их абсурдность.

Однако власти намерены не спускать скандал на тормозах. Себастьян Фидлер, политик из Социал-демократов (СДПГ) канцлера Олафа Шольца, отметил, что обвинения должны быть тщательно расследованы и уже нанесли большой ущерб доверию к BSI.

Все это происходит и на фоне того, что пару дней назад железнодорожная сеть на севере Германии была временно парализована в результате того, что кабели связи были перерезаны на двух участках, а некоторые официальные лица сразу поспешили указывать пальцем на Россию.

В реальности все обвинения в адрес Шенбома строятся на том, что членом упоминаемой ассоциации является немецкая компания, являющаяся дочерней компанией российской инфосек-компании, основанной бывшим сотрудником КГБ.

На текущий момент ни МВД, ни BSI никак не комментируют ситуацию.

Как по нашему мнению, на фоне общего низкого уровня ИБ и в условиях энергокризиса со всеми вытекающими негативными процессами в экономике, власти Германии продолжают оправдывать собственные ошибки, пытаясь искать русский след где только возможно, в том числе и в инфосеке.

Охота на ведьм начинается. Будем посмотреть, кто следующий.

Лаборатория Касперского в своей статье проливает свет на 10 самых загадочных APT-кампаний, оставшихся без атрибуции.

1. Проект TajMahal. Сложный фреймворк для шпионажа, который состоит из двух разных пакетов Tokyo и Yokohama. Может похищать различные данные, используя для этого более 80 различных модулей. TajMahal применялся как минимум 5 лет до обнаружения в единственной атаке на дипломатическую организацию.

2. DarkUniverse — еще один APT-фреймворк, который использовался с 2009 по 2017 год в ходе атак на 20 гражданских и военных организаций в в разных странах. Распространяется через фишинг и состоит из нескольких модулей для шпионажа.

3. PuzzleMaker. В апреле 2021 года ресерчеры обнаружили несколько целевых атак на основе сложной цепочки из 0-day эксплойтов. Для проникновения в систему использовалась CVE-2021-21224 в Google Chrome в связке с CVE-2021-31955 и CVE-2021-31956. После успешной эксплуатации внедрялся специально разработанный для каждого случая вредоносный пакет PuzzleMaker.

4. ProjectSauron был впервые обнаружен в 2015. Является сложной APT-платформой, используемой для атак на организации в России, Иране, Руанде. В атаках
используются уникальные основные импланты. Группа, стоящая за ProjectSauron, использует сложную С2-инфраструктуру с широким рядом интернет-провайдеров в США и Европе. Злоумышленники, скорее всего, использовали опыт других APT-кампаний, таких как Duqu, Flame, Equation и Regin.

5. USB Thief. В 2016 году ESET обнаружили USB-троянец с хитрым механизмом самозащиты. Зловред состоял из шести файлов, два из которых были конфигурационными, а остальные четыре — исполняемыми. Запускать их можно было только в заданном порядке, а некоторые были зашифрованы по алгоритму AES-128. Ключ шифрования генерировался с использованием уникального идентификатора USB-устройства и определенных свойств диска. Три исполняемых файла — загрузчики, каждый из которых загружает в память файл следующего этапа. Украденные данные которые всегда выгружаются на зараженный USB-диск. Может быть связан с APT-группой Lamberts.

6. TENSHO (White Tur). В начале 2021 года в процессе поиска фишинговых страниц, исследователи из компании PwC наткнулись на страницу, которая использовалась для кражи учетных записей министерства обороны Сербии. Она была создана прежде неизвестной группой TENSHO, или White Tur. Группа активна с 2017 года и использует разнообразные уникальные методы и инструменты, включая и OpenHardwareMonitor, доставляющий зловред TENSHO в форме скрипта PowerShell или исполняемого файла для Windows.

7. PlexingEagle. На конференции HITBSec 2017 в Амстердаме Эммануэль Гадэ (Emmanuel Gadaix) рассказал об обнаружении крайне интересного набора инструментов для кибершпионажа в GSM-сетях.

8. SinSono. В мае 2021 года телекоммуникационная компания Syniverse обнаружила несанкционированный доступ к своим IT-системам. Внутреннее расследование показало, что актор впервые проник в инфраструктуру еще в 2016 году. В течение пяти лет, оставаясь незамеченным, использовал внутренние базы данных и смог украсть учетные данные для входа в среду EDT у 235 клиентов компании. Используя их, злоумышленники могли получить доступ к конфиденциальной информации абонентов, включая записи звонков и тексты смс.

9. MagicScroll - сложный вредоносный фреймворк, впервые обнаруженный в 2019 году Palo Alto. Это многоэтапное вредоносное ПО. Единственная жертва (из России) была атакована в 2017 году. Механизм первичного заражения неизвестен. Первый этап - загрузчик, который был создан как поставщик поддержки безопасности. Его основное предназначение - доставка модуля следующего этапа, который хранится в реестре и использует уязвимость VirtualBox для загрузки вредоносного драйвера в режиме ядра.

10. Metador впервые была описана компанией SentinelLabs в сентябре 2022 года. Атакует провайдеров и университеты в странах Ближнего Востока и Африки. Metador использует две вредоносные платформы: metaMain и Mafalda, которые развертываются исключительно в памяти и обмениваться данными с другими неизвестными имплататами.

Обнаруженная в ноябре 2021 года уязвимость высокой степени серьезности в vCenter Server 8.0 до сих пор не исправлена VMware.

CVE-2021-22048 связана с повышением привилегий и была обнаружен Яроном Зинаром и Саги Шейнфельдом из CrowdStrike в механизме IWA (встроенной проверки подлинности Windows). Ошибка также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.

VMware заявляет, что эта уязвимость может быть использована лишь злоумышленниками, использующими векторную сеть, прилегающую к целевому серверу, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.

Однако в пояснении NIST NVD к CVE-2021-22048 указывается немного иначе: ее можно использовать удаленно в рамках атак низкой сложности.

Тем не менее, разработчик оценил ошибку как важную, поскольку ее эксплуатация приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и/или ресурсов.

VMware все же выпустила для баги исправления в июле 2022 года (vCenter Server 7.0, обновление 3f), однако спустя 11 дней обновление было отозвано, поскольку оказалось некорректным и вызывало сбои.

В ожидании новых исправлений, VMware предлагает обходной путь, позволяющий администраторам исключить вектор атаки.

Компания рекомендует переключиться на Active Directory через аутентификацию LDAP (все инструкции здесь и здесь) или Identity Provider Federation for AD FS (только vSphere 7.0) с интегрированной аутентификации Windows (IWA).

Microsoft выпустила очередной Patch Tuesday, устраненив в общей сложности 84 уязвимостей в Microsoft Windows и компонентах операционной системы и продуктах в экосистеме, включая две 0-day.

В целом исправленные ошибки представлены по категориям: 39 - повышение привилегий, 2 - обход функций безопасности, 20 - RCE, 11 - раскрытие информации, 8 - отказ в обслуживании, 4 - спуфинг. При этом 30 из исправленных в обновлении уязвимостей классифицируются как критические.

Одна из исправленных 0-day активно эксплуатируется в атаках, а другая — публично раскрыта.

Обнародованная уязвимость раскрытия информации Microsoft Office и была обнаружена Коди Томасом из SpecterOps. Злоумышленники могут использовать эту уязвимость для получения доступа к токенам аутентификации пользователей.

CVE-2022-41033 затрагивает системную службу событий Windows COM+ и используется в атаках с целью повышения привилегий.

Проблемы критического уровня затрагивают Active Directory, Azure, Microsoft Office, SharePoint, Hyper-V и протокол туннелирования Windows «точка-точка».

Все бы ничего, да вот только вопрос с ProxyNotShell остается открытым.

Две уязвимости Exchange Server CVE-2022-41040 (проблема подделки запроса на стороне сервера (SSRF), приводящая к повышению привилегий) и CVE-2022-21082 (ошибка RCE) не были исправлены в рамках вышедшего Patch Tuesday.

При этом Редмонд не указал даже срока, когда пользователи Windows могут ожидать исправления Exchange Server.

В тоже время, сама Microsoft утверждает, что ProxyNotShell активно эксплуатировали неназванные АРТ в целевых атаках как минимум на 10 крупных организаций.

Полный перечень с описанием каждой уязвимости и затронутых систем представлен здесь.