Troijalainen WordPress-tunnistetietojen tarkistus varastaa 390,000 XNUMX kirjautumistietoa, kriittinen haavoittuvuus paljastui Microsoft Azure MFA:ssa: Kyberturvallisuuskatsaus
Troijalainen WordPress-tunnistetietojen tarkistus varastaa 390,000 1244 valtuustietoa MUT-XNUMX-kampanjassa
Hienostunut uhkatekijä, jota jäljitetään nimellä MUT-1244, on toteuttanut laajan kampanjan kuluneen vuoden aikana ja varastanut onnistuneesti yli 390,000 XNUMX WordPress-tunnistetietoa. Tämä operaatio, joka kohdistui ensisijaisesti muihin uhkatoimijoihin sekä tietoturvatutkijoihin, punaisiin tiimiläisiin ja penetraatiotestaajiin, turvautui troijalaistettuun WordPress-tunnistetietojen tarkistukseen ja haitallisiin GitHub-tietovarastoihin uhrien vaarantamiseksi.
Hyökkääjät käyttivät haitallista työkalua, "yawpp", jota mainostettiin WordPressin kirjautumistietojen tarkistajana. Monet uhreista, mukaan lukien uhkatekijät, käyttivät työkalua varastettujen valtuustietojen vahvistamiseen paljastaen vahingossa omat järjestelmänsä ja tietonsa. Tämän lisäksi MUT-1244 perusti useita GitHub-tietovarastoja, jotka sisälsivät takaovellisia konseptintodistuksia tunnetuille haavoittuvuuksia. Nämä arkistot suunniteltiin näyttämään laillisilta, ja ne usein nousevat luotettujen uhkien tiedustelutietosyötteisiin, kuten Feedly ja Vulnmon. Tämä aitouden esiintyminen huijasi ammattilaiset ja haitalliset toimijat suorittamaan haittaohjelman, joka toimitettiin useilla eri tavoilla, mukaan lukien takaoviset määritystiedostot, Python-pisarat, haitalliset npm-paketit ja väärennetyt PDF-dokumentit.
Kampanjaan kuului myös mm Phishing elementti. Uhrit huijattiin suorittamaan komentoja asentaakseen heidän mielestään suorittimen mikrokoodipäivityksen, mutta todellisuudessa haittaohjelman. Asennuksen jälkeen haittaohjelma otti käyttöön sekä kryptovaluutan louhinnan että takaoven, mikä antoi hyökkääjille mahdollisuuden varastaa arkaluontoisia tietoja, kuten yksityisiä SSH-avaimia, AWS-käyttöavaimia ja ympäristömuuttujia. Varastettu tiedot Sitten se suodatettiin alustoille, kuten Dropbox ja file.io, käyttämällä haittaohjelmistoon upotettuja kovakoodattuja tunnistetietoja.
Tutkijat paljastavat kriittisen haavoittuvuuden Microsoft Azure MFA:ssa, mikä mahdollistaa tilin haltuunoton
Oasis Securityn tietoturvatutkijat havaitsivat kriittisen haavoittuvuuden Microsoft Azuren monitekijätodennusjärjestelmässä (MFA), jonka ansiosta he pystyivät ohittamaan MFA-suojaukset ja pääsemään luvattomasti käyttäjätileihin noin tunnissa. Virhe, joka johtui epäonnistuneiden MFA-yritysten nopeusrajoituksen puuttumisesta, jätti yli 400 miljoonaa Microsoft 365 -tiliä alttiiksi mahdollisille kompromisseille, mikä paljastaa arkaluontoiset tiedot, kuten Outlook-sähköpostit, OneDrive-tiedostot, Teams-keskustelut ja Azure Cloud -palvelut.
Hyödyntämällä "AuthQuakeksi" kutsuttua haavoittuvuutta hyökkääjät voivat suorittaa samanaikaisia, nopeita yrityksiä arvata kuusinumeroinen MFA-koodi, jolla on miljoona mahdollista yhdistelmää. Käyttäjien hälytysten puute epäonnistuneiden kirjautumisyritysten aikana teki hyökkäyksestä salaperäisen ja vaikeasti havaittavan. Lisäksi tutkijat havaitsivat, että Microsoftin järjestelmä salli MFA-koodien pysyä voimassa noin kolme minuuttia – 1 minuuttia pidempään kuin RFC-2.5:n suosittelema 30 sekunnin vanheneminen – mikä lisäsi merkittävästi onnistuneen arvauksen todennäköisyyttä.
Testauksellaan tutkijat osoittivat, että 24 istunnon (noin 70 minuutin) aikana hyökkääjillä olisi yli 50 %:n mahdollisuus arvata oikea koodi.
Venäjä estää Viberin väitetyistä kansallisen lainsäädännön rikkomuksista
Venäjän televiestintäviranomainen Roskomnadzor on estänyt Viber-salatun viestisovelluksen kansallisen lainsäädännön rikkomiseen vedoten. Sovellusta, jota käytetään laajasti ympäri maailmaa, syytettiin siitä, että se ei noudattanut vaatimuksia, joiden tarkoituksena on estää sen väärinkäyttö terrorismiin, ääriliikkeisiin, huumekauppaan ja laittoman tiedon levittämiseen. Roskomnadzor perusteli rajoituksen välttämättömäksi näiden riskien vähentämiseksi ja Venäjän lakien noudattamisen ylläpitämiseksi.
Viber, joka on saatavilla sekä työpöytä- että mobiilialustoille, on valtavan suosittu, yli miljardi latausta Google Play Kaupassa ja merkittävää käyttäjien sitoutumista iOS:llä. Tämä toimenpide on kuitenkin seurausta useista Venäjän viranomaisten toimista, jotka kohdistuvat ulkomaisiin viestintäalustoihin. Kesäkuussa 1 Moskovan tuomioistuin määräsi Viberille miljoonan ruplan sakon, koska se ei poistanut laittomaksi leimattua sisältöä, mukaan lukien materiaalit, jotka liittyvät Venäjän meneillään olevaan konfliktiin Ukrainassa. Viberin tukahduttaminen vastaa laajempia rajoituksia, joita Venäjä on asettanut viestintäpalveluille.
