CyberLinki

atak10: kapitanhack.pl / pishing + CVE-2022-22047 –> pełna kontrola + Mimikatz –> inne komputery

Opisywany „zero day” to CVE-2022-22047, który wpływa na systemy operacyjne komputerów stacjonarnych i serwerów poprzez lukę umożliwiającą podnoszenie (eskalację) uprawnień na „normalnym” użytkowniku. Luka otrzymała wynik CVSS: 7,8 i wykorzystuje błąd podniesienia uprawnień w podsystemie wykonawczym klienta/serwera systemu Windows – Client/Server Runtime Subsystem [CSRSS].

„Atakujący, który z powodzeniem wykorzysta tę lukę, może uzyskać uprawnienia SYSTEMOWE” — zauważył Microsoft, ale osoba atakująca musi najpierw uzyskać dostęp do systemu, zwykle wykorzystując osobny błąd wykonania kodu (exploit).

Jeśli atakujący zdobędzie exploit na powyższy zeroday i połączy z go phishingiem, np. atakiem mailowym wykorzystującym opisywany przez nas ostatnio błąd w dokumencie Word, to uzyska pełną kontrolę nad komputerem. Przypominamy, że za pomocą tak zdobytego uprawnienia SYSTEM na Windows atakujący mogą zrobić w systemie co im się tylko podoba (pełna kontrola nad komputerem). Mogą na przykład wyłączyć lokalne usługi, takie jak narzędzia Endpoint Detection i Security oraz wdrożyć narzędzia takie jak Mimikatz, których można użyć do ataku domeny Active Directory (patrz kampania Cyber Kill Chain) oraz do przechwycenia jeszcze większej liczby kont.

atak11: Sekurak.pl / 0day w Microsoft Office :

CVE-2022-30190 (CVE) (NIST-NVD) :

Otwarcie dokumentu Word, spreparowanego wg poniższego schematu, umożliwia wykonanie kodu PowerShella

https://packetstormsecurity.com/files/167438/Microsoft-Office-Word-MSDTJS-Code-Execution.html

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

podgląd na Twiter:

Want a quick & dirty (but supported by Microsot) way to avoid #follina Office know payloads?

Just disable "Troubleshooting wizards" by GPO

> https://t.co/0BqTFaHsUj

HKLMSOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics – EnableDiagnostics – 0

By CERT @banquedefrance pic.twitter.com/LXyqhTKsy1
— 🥝🏳️‍🌈 Benjamin Delpy (@gentilkiwi) May 30, 2022

atak11: Kup pan cegłę…

CyberLinki – jak ransomware dostaje się do firm

CyberLinki – CERT

Dodaj komentarz Anuluj pisanie odpowiedzi