Оружием в руках злоумышленников стала уязвимость в функции Credential Roaming.
Группировка APT29 использовала функцию Credential Roaming после успешной фишинговой атаки на неназванное европейское дипломатическое учреждение. Об этом Для просмотра ссылки Войди
Функция Credential Roaming впервые появилась в Windows Server 2003 Service Pack 1 (SP1) и представляет собой механизм, позволяющий пользователям получать доступ к своим учетным данным (т.е. закрытым ключам и сертификатам) безопасным образом на различных рабочих станциях в домене Windows.
Исследовав внутренние механизмы функции, Mandiant обнаружили то, чем воспользовались злоумышленники – уязвимость Для просмотра ссылки Войди
Как отмечают исследователи компании, успешная эксплуатация уязвимости позволяет злоумышленнику получить права удаленного интерактивного входа в систему на машине, где у жертвы нет таких прав.
Mandiant заявила, что исследование "дает представление о том, почему APT29 активно запрашивает соответствующие атрибуты LDAP в Active Directory", и призвала организации как можно скорее применить сентябрьские исправления.
- Источник новости
- https://www.securitylab.ru/news/534731.php