Новости Группировка APT29 взломала сеть европейских дипломатических учреждений

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Оружием в руках злоумышленников стала уязвимость в функции Credential Roaming.​


6bwbkjkkjkjhbde6r6a809al0v1sktok.jpg


Группировка APT29 использовала функцию Credential Roaming после успешной фишинговой атаки на неназванное европейское дипломатическое учреждение. Об этом Для просмотра ссылки Войди или Зарегистрируйся эксперты Для просмотра ссылки Войди или Зарегистрируйся , которые обнаружили использование Credential Roaming, после того, как хакеры из APT29 побывали в сети жертвы, выполнив в системе Active Directory множество LDAP-запросы с нетипичными свойствами.

Функция Credential Roaming впервые появилась в Windows Server 2003 Service Pack 1 (SP1) и представляет собой механизм, позволяющий пользователям получать доступ к своим учетным данным (т.е. закрытым ключам и сертификатам) безопасным образом на различных рабочих станциях в домене Windows.

Исследовав внутренние механизмы функции, Mandiant обнаружили то, чем воспользовались злоумышленники – уязвимость Для просмотра ссылки Войди или Зарегистрируйся , которая позволяет хакерам записывать произвольные файлы. Эта брешь в защите была устранена в рамках сентябрьского вторника исправлений, а для ее эксплуатации злоумышленник должен проникнуть в систему под видом пользователя.

Как отмечают исследователи компании, успешная эксплуатация уязвимости позволяет злоумышленнику получить права удаленного интерактивного входа в систему на машине, где у жертвы нет таких прав.

Mandiant заявила, что исследование "дает представление о том, почему APT29 активно запрашивает соответствующие атрибуты LDAP в Active Directory", и призвала организации как можно скорее применить сентябрьские исправления.
 
Источник новости
https://www.securitylab.ru/news/534731.php

Похожие темы