Η CISA έδωσε εντολή στις υπηρεσίες του Ομοσπονδιακού Πολιτικού Εκτελεστικού Υποκαταστήματος (FCEB) των
ΗΠΑ
να προστατεύσουν τα συστήματα Windows τους από μια ευπάθεια υψηλής σοβαρότητας στην Υπηρεσία
ροής
της Microsoft (MSKSSRV.SYS) που χρησιμοποιείται ενεργά σε επιθέσεις.
Το
ελάττωμα ασφαλείας (που παρακολουθείται ως CVE-2023-29360) οφείλεται σε ένα
αδυναμία αποαναφοράς μη αξιόπιστου δείκτη
που επιτρέπει στους τοπικούς εισβολείς να αποκτήσουν προνόμια SYSTEM σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Το CVE-2023-29360 βρέθηκε από τον Thomas Imbert της Synactiv στον διακομιστή μεσολάβησης υπηρεσίας ροής της Microsoft (MSKSSRV.SYS) και αναφέρθηκε στη Microsoft μέσω του Zero Day Initiative της Trend Micro. Ρέντμοντ
μπάλωσε το σφάλμα
κατά τη διάρκεια της
ενημέρωση
ς κώδικα Τρίτης Ιουνίου 2023, με τον κώδικα εκμετάλλευσης απόδειξης της ιδέας να πέφτει στο GitHub τρεις μήνες αργότερα, στις 24 Σεπτεμβρίου.
Η αμερικανική υπηρεσία κυβερνοασφάλειας δεν παρείχε λεπτομέρειες σχετικά με τις συνεχιζόμενες επιθέσεις, αλλά επιβεβαίωσε ότι δεν βρέθηκαν στοιχεία ότι αυτή η ευπάθεια χρησιμοποιήθηκε σε επιθέσεις ransomware.
CISA επίσης
προστέθηκε
το
σφάλμα
σε του
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
αυτή την εβδομάδα, προειδοποιώντας ότι τέτοια σφάλματα ασφαλείας είναι “διάνυσμα συχνών επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”. Όπως ορίζεται από μια δεσμευτική επιχειρησιακή οδηγία (
ΔΣ 22-01
) που εκδόθηκε τον Νοέμβριο του 2021, οι ομοσπονδιακές υπηρεσίες πρέπει να επιδιορθώσουν τα συστήματα Windows έναντι αυτού του σφάλματος ασφαλείας εντός τριών εβδομάδων, έως τις 21 Μαρτίου.
Αν και ο κατάλογος KEV της CISA εστιάζει κυρίως στην ειδοποίηση των ομοσπονδιακών υπηρεσιών σχετικά με ελαττώματα ασφαλείας που πρέπει να αντιμετωπιστούν το συντομότερο δυνατό, οι ιδιωτικοί οργανισμοί σε όλο τον κόσμο συμβουλεύονται επίσης να δώσουν προτεραιότητα στην επιδιόρθωση αυτής της ευπάθειας για τον αποκλεισμό συνεχιζόμενων επιθέσεων.
Εκμεταλλεύεται σε επιθέσεις κακόβουλου λογισμικού από τον Αύγουστο
Η αμερικανική-ισραηλινή εταιρεία κυβερνοασφάλειας Check Point έδωσε περισσότερες πληροφορίες σχετικά με αυτήν την ευπάθεια τον περασμένο μήνα, λέγοντας ότι οι επιθέσεις κακόβουλου λογισμικού Raspberry Robin εκμεταλλεύονται το CVE-2023-29360 από τον Αύγουστο του 2023.
“Αφού εξετάσαμε δείγματα του Raspberry Robin πριν από τον Οκτώβριο, διαπιστώσαμε ότι χρησιμοποιούσε επίσης ένα exploit για το CVE-2023-29360. Αυτή η ευπάθεια αποκαλύφθηκε δημόσια τον Ιούνιο και χρησιμοποιήθηκε από την Raspberry Robin τον Αύγουστο”, δήλωσε η Check Point.
“Αν και αυτή είναι μια πολύ εύκολη ευπάθεια για εκμετάλλευση, το γεγονός ότι ο συγγραφέας του exploit είχε ένα δείγμα εργασίας πριν υπάρξει ένα γνωστό exploit στο GitHub είναι εντυπωσιακό, όπως και το πόσο γρήγορα το χρησιμοποίησε ο Raspberry Robin.”
Χρονοδιάγραμμα εκμετάλλευσης CVE-2023-29360 (Σημείο ελέγχου)
Το Raspberry Robin είναι ένα κακόβουλο λογισμικό με δυνατότητες τύπου worm που εμφανίστηκε τον Σεπτέμβριο του 2021 και εξαπλώνεται κυρίως μέσω μονάδων USB. Αν και οι δημιουργοί του είναι άγνωστοι, έχει συνδεθεί με πολλές κυβερνοεγκληματικές ομάδες, συμπεριλαμβανομένης της EvilCorp και της συμμορίας ransomware Clop.
Η Microsoft δήλωσε τον Ιούλιο του 2022 ότι εντόπισε το κακόβουλο λογισμικό Raspberry Robin στα δίκτυα εκατοντάδων οργανισμών από διάφορους κλάδους της βιομηχανίας.
Από την ανακάλυψή του, αυτό το σκουλήκι εξελίσσεται συνεχώς, υιοθετώντας νέες τακτικές παράδοσης και προσθέτοντας νέα χαρακτηριστικά, συμπεριλαμβανομένης της φοροδιαφυγής όπου ρίχνει πλαστά ωφέλιμα φορτία για να παραπλανήσει τους ερευνητές.
VIA:
bleepingcomputer.com
