Máme pro Vás příklady hrozeb, které zachytil ThreatGuard 06/2022

Zranitelnost v nástroji v Microsoft Office umožňuje spustit libovolný kód


Uvedená zranitelnost se projevuje, když je nástroj MSDT volán s použitím protokolu URL volající aplikace, jako
je Word, čehož může útočník zneužít a následně může spustit libovolný kód s oprávněními volající aplikace,
instalovat programy, vidět, měnit či mazat data nebo vytvářet nové uživatelské účty v kontextu povoleném
oprávněními uživatele. Zranitelnost je považována za závažnou, protože je její zneužití jednoduché a již existují
dostupné nástroje na její zneužití a to bez (nebo s minimální) interakce uživatele. Zranitelné jsou všechny
podporované verze Microsoft Windows. Exploitace probíhá následovně: Útočník vytvoří dokument Microsoft
Office. V současnosti se většinou používá Word, ale Excel, PowerPoint a další dokumenty jsou také zneužitelné.
Oběť obdrží e-mail s dokumentem nebo odkazem na webovou stránku, na které se nachází dokument. Oběť
otevře dokument (může stačit náhled). Dokument používá funkci vzdálené šablony aplikace Word k načtení
souboru HTML ze vzdáleného webového serveru, který zase používá schéma URI ms-msdt MSProtocol k
načtení kódu a spuštění prostředí PowerShell.
Návrh řešení týmu viz ThreatGuard-ID: 2175

Kritická RCE zraniteľnosť v Atlassian Confluence


Vzhľadom k aktívnej exploitácií zraniteľnosti a neexistencií opravy vendor nezverejnil podrobné informácie.
Atlassian predpokladá, že zraniteľnosť sa nachádza vo všetkých podporovaných verziách Confluence Server a
Confluence Data Center. Vzdialený neautentizovaný útočník je pomocou nej schopný spustiť škodlivý kód na
zariadení a tým ho kompromitovať. Podľa získaných informácií útočníci zraniteľnosť používajú pre nasadenie
Behinder web shell, ktorý umožňuje naviazať meterpreter spojenie so zasiahnutým zariadením. Tento shell nie
je perzistentný a reboot alebo reštart služby ho ukončí. Zároveň je v spojení so zraniteľnosťou používaný
malware China Chopper a spustenie vlastných shell skriptov.
Návrh řešení týmu viz ThreatGuard-ID: 2180

Zranitelnosti v produktech Cisco Secure Email a Web Manager z 15. 6. 2022


Byly detekovány dvě zranitelnosti v produktech Cisco Secure Email a Cisco Web Manager, které útočníkovi
umožňují získat ctitlivé informace či obejít autentizaci a přihlásit se do webového rozhraní pro správu na
napadeném zařízení. Jedná se o následující zranitelnosti:
CVE-2022-20664: Tato zranitelnost existuje kvůli nedostatečné sanaci vstupů během dotazování se
externího autentizačního serveru, čehož může útočník zneužít odesláním vytvořeného dotazu prostřednictvím
externí webové stránky pro ověřování, což mu umožní získat přístup k citlivým informacím, včetně
uživatelských přihlašovacích údajů z externího autentifikačního serveru. Pro úspěšné zneužití této zranitelnosti
potřebuje útočník mít validní přihlašovací údaje na úrovni operátora (nebo vyšší).
CVE-2022-20798: Uvedená zranitelnost se projevuje z důvodu nesprávné kontroly autentizace, pokud
napadené zařízení používá protokol LDAP (Lightweight Directory Access Protocol) pro externí autentizaci, což
může útočník zneužít tak, že zadá na přihlašovací stránce napadeného zařízení specifický vstup, což mu
následně umožní získat neautorizovaný přístup do webového rozhraní pro správu na napadeném zařízení.
Návrh řešení týmu viz ThreatGuard-ID: 2193

Co potřebujete vyřešit? Ozveme se Vám nazpět

Než začneme poskytovat službu outsourcing IT, zpracujeme nejdříve vstupní audit informačních technologií. Tento audit slouží k zjištění aktuálního stavu výpočetní techniky a softwarového vybavení a zároveň k vytvoření návrhu pro případné změny a optimalizace. Na základě výsledků auditu navrhneme specifikaci parametrů smlouvy a cenové nabídky.

Kontakt

+420 596 620 071
+420 596 620 070
obchod@brain.cz