atak1: Sekurak.pl / Orlen
atak2: Sekurak.pl / „księgowa techniczna”
atak3: Sekurak.pl / PKO
atak4: Sekurak.pl / SMS na lotnisku
atak5: Sekurak.pl / SMS Santander
atak6: Sekurak.pl / SMS podszywające się pod PGE
atak7: Niebezpiecznik.pl / SMS Ministerstwo Finansów
atak8: Sekurak.pl / Chcę zmienić konto na mojej liście płac
atak9: Sekurak.pl / Hotel – ransomware
atak10: kapitanhack.pl / pishing + CVE-2022-22047 –> pełna kontrola + Mimikatz –> inne komputery
Opisywany „zero day” to CVE-2022-22047, który wpływa na systemy operacyjne komputerów stacjonarnych i serwerów poprzez lukę umożliwiającą podnoszenie (eskalację) uprawnień na „normalnym” użytkowniku. Luka otrzymała wynik CVSS: 7,8 i wykorzystuje błąd podniesienia uprawnień w podsystemie wykonawczym klienta/serwera systemu Windows – Client/Server Runtime Subsystem [CSRSS].
„Atakujący, który z powodzeniem wykorzysta tę lukę, może uzyskać uprawnienia SYSTEMOWE” — zauważył Microsoft, ale osoba atakująca musi najpierw uzyskać dostęp do systemu, zwykle wykorzystując osobny błąd wykonania kodu (exploit).
Jeśli atakujący zdobędzie exploit na powyższy zeroday i połączy z go phishingiem, np. atakiem mailowym wykorzystującym opisywany przez nas ostatnio błąd w dokumencie Word, to uzyska pełną kontrolę nad komputerem. Przypominamy, że za pomocą tak zdobytego uprawnienia SYSTEM na Windows atakujący mogą zrobić w systemie co im się tylko podoba (pełna kontrola nad komputerem). Mogą na przykład wyłączyć lokalne usługi, takie jak narzędzia Endpoint Detection i Security oraz wdrożyć narzędzia takie jak Mimikatz, których można użyć do ataku domeny Active Directory (patrz kampania Cyber Kill Chain) oraz do przechwycenia jeszcze większej liczby kont.
atak11: Sekurak.pl / 0day w Microsoft Office :
CVE-2022-30190 (CVE) (NIST-NVD) :
Otwarcie dokumentu Word, spreparowanego wg poniższego schematu, umożliwia wykonanie kodu PowerShella
https://packetstormsecurity.com/files/167438/Microsoft-Office-Word-MSDTJS-Code-Execution.html
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
podgląd na Twiter:
atak11: Kup pan cegłę…