I ricercatori di sicurezza e la Cybersecurity and Infrastructure Security Agency (CISA) hanno condiviso nuove informazioni questa settimana su queste minacce. Ecco un riassunto e le raccomandazioni su come difendersi da questi attacchi.
La CISA ha aggiunto 15 nuove vulnerabilità al suo Known Exploited Vulnerabilities Catalog questa settimana per attirare l’attenzione sulle vulnerabilità che i cattivi attori stanno attivamente sfruttando. Queste vulnerabilità sono un vettore di attacco frequente per i malintenzionati informatici e rappresentano un rischio significativo per i governi e le aziende private.
I nuovi rischi sono:
- SonicWall SonicOS Buffer Overflow Vulnerabilità
- Microsoft Windows UPnP Service Privilege Escalation Vulnerabilità
- Microsoft Windows Privilege Escalation Vulnerabilità
- Microsoft Windows Error Reporting Manager Privilege Escalation Vulnerabilità
- Microsoft Windows AppX Deployment Server Vulnerabilità di escalation dei privilegi
- Microsoft Windows AppXSVC Vulnerabilità di escalation dei privilegi
- Microsoft Task Scheduler – Vulnerabilità di escalation dei privilegi
- Microsoft Windows AppXSVC Vulnerabilità di escalation dei privilegi
- Microsoft Windows AppXSVC Vulnerabilità di escalation dei privilegi
- Vulnerabilità di escalation dei privilegi di Microsoft Windows
- Microsoft Win32k Vulnerabilità di escalation dei privilegi
- Microsoft Windows Transaction Manager – Vulnerabilità di escalation dei privilegi
- Microsoft Windows Kernel Privilege Escalation Vulnerabilità
- Microsoft Win32k Memory Corruption Vulnerabilità
- Microsoft Win32k Privilege Escalation Vulnerabilità
- CISA ha un bollettino e-mail che annuncia le nuove aggiunte alla lista.
La CISA ha anche avvertito di un exploit che sfrutta i protocolli di autenticazione a due fattori MFA predefiniti e una vulnerabilità nota. L’agenzia ha riferito che gli hacker sponsorizzati dalla Russia hanno utilizzato un account mal configurato nel maggio 2021 presso un’organizzazione non governativa per iscrivere un nuovo dispositivo per MFA e accedere alla rete del gruppo. Il passo successivo è stato quello di utilizzare la vulnerabilità PrintNightmare per eseguire codice arbitrario con privilegi di sistema. Questa vulnerabilità utilizza una debolezza critica di Windows Print Spooler. Gli attori ostili hanno usato Duo MFA di Cisco per ottenere l’accesso al cloud e agli account di posta elettronica della ONG per rubare i documenti.
La CISA raccomanda che le organizzazioni prendano queste misure per evitare questo tipo di attacco:
- Applicare l’MFA e rivedere le politiche di configurazione per proteggere dal “fail open” e dagli scenari di re-iscrizione.
- Assicurarsi che gli account inattivi siano disabilitati in modo uniforme in Active Directory e nei sistemi MFA.
- Applicare patch a tutti i sistemi e dare priorità alle patch per le vulnerabilità conosciute e sfruttate.
