Большой передел мира
247,130,869
500,620
|
DeC ( Профессионал ) |
| 17 мар 2021 12:55:05 |
Microsoft
новая дискуссия Дискуссия 160
Любопытный таймлайн использования эксплойт-кита ProxyLogon, основанного на эксплуатации четырех уязвимостей в Microsoft Exchange, приводят журналисты ZDNet.
Интересный момент содержится в следующем - исследователь DEVCORE, которому приписывается обнаружение двух уязвимостей из ProxyLogon, 5 января написал у себя в Twitter об обнаружении ошибок, позволяющих осуществить RCE без аутентификации, и о передаче соответствующего отчета производителю ПО.
А, согласно отчету инфосек компании Volexity, атаки с использованием ProxyLogon со стороны китайской APT начались ориентировочно с 3 января, то есть всего двумя днями ранее.
Это очень странное совпадение и оно дает основание предположить, что информация об уязвимостях могла каким-то образом попасть в руки китайских хакеров непосредственно от исследователей, нашедших ошибки, либо от производителя ПО.
Основных вариантов тут три:
- исследователь сам продал данные об эксплойтах китайцам, а потом тут же отрепортил в Microsoft;
- китайцы контролировали ресурсы исследователя и смогли оперативно увести информацию об уязвимости (вспоминаем кампанию северокорейской APT Lazarus по шпионажу за инфосек экспертами и задаемся вопросом, а почему этим же не могут заниматься китайские хакеры);
- информация утекла из ранних отчетов из самой Microsoft (вспоминаем про атаки на SolarWinds Orion со стороны китайской APT Spiral, улыбаемся и машем).
Есть над чем подумать.
Интересный момент содержится в следующем - исследователь DEVCORE, которому приписывается обнаружение двух уязвимостей из ProxyLogon, 5 января написал у себя в Twitter об обнаружении ошибок, позволяющих осуществить RCE без аутентификации, и о передаче соответствующего отчета производителю ПО.
А, согласно отчету инфосек компании Volexity, атаки с использованием ProxyLogon со стороны китайской APT начались ориентировочно с 3 января, то есть всего двумя днями ранее.
Это очень странное совпадение и оно дает основание предположить, что информация об уязвимостях могла каким-то образом попасть в руки китайских хакеров непосредственно от исследователей, нашедших ошибки, либо от производителя ПО.
Основных вариантов тут три:
- исследователь сам продал данные об эксплойтах китайцам, а потом тут же отрепортил в Microsoft;
- китайцы контролировали ресурсы исследователя и смогли оперативно увести информацию об уязвимости (вспоминаем кампанию северокорейской APT Lazarus по шпионажу за инфосек экспертами и задаемся вопросом, а почему этим же не могут заниматься китайские хакеры);
- информация утекла из ранних отчетов из самой Microsoft (вспоминаем про атаки на SolarWinds Orion со стороны китайской APT Spiral, улыбаемся и машем).
Есть над чем подумать.
ОТВЕТЫ (3)
|
|
DeC ( Профессионал ) |
| 17 мар 2021 12:57:06 |
Цитата: DeC от 17.03.2021 12:55:05
И в продолжение темы об уязвимостях в продуктах Microsoft.
Вчера исследователь Paranoid Ninja из Red Team инфосек компании CrowdStrike отрепортил в Microsoft информацию в отношении 0-day уязвимости в Office 365, позволяющей полный обход аутентификации.
Через несколько часов ресерчер нашел еще одну 0-day, по всей видимости в том же Office 365, которая, по его словам, в два раза более критичная, чем предыдущая (RCE?).
Таким образом, среднее время нахождения 0-day уязвимости в продуктах Microsoft сегодня равняется 14 часам (дифференцируем).
|
bb1788 ( Практикант ) |
| 17 мар 2021 13:38:46 |
Сообщение удалено
bb1788
25 дек 2021 17:36:07
bb1788
25 дек 2021 17:36:07
Отредактировано: bb1788 - 25 дек 2021 17:36:07