Уязвимость ProxyToken позволяет изменить настройки сервера Exchange

Уязвимость ProxyToken позволяет изменить настройки сервера Exchange

Вам было мало связки уязвимостей ProxyShell? Тогда позвольте представить ProxyToken — ещё один повод обновить установки Microsoft Exchange, чтобы не стать жертвой киберпреступников, эксплуатирующих этот баг.

Как объясняют специалисты в области кибербезопасности, киберпреступники с помощью ProxyToken могут обойти аутентификацию и даже внести изменения в конфигурацию бекэнда почтового сервера Exchange.

О проблеме рассказали сотрудники вьетнамской компании VNPT ISC: ProxyToken можно использовать для незаметной установки специального правила, перенаправляющего электронные переписки пользователя злоумышленникам. Ли Сянь Туйен из VNPT ISC сообщил об уязвимости через программу Zero-Day Initiative. Причиной наличия бага стали две проблемы в коде Exchange:

  1. Проблема аутентификации запросов, содержащих cookie под именем «SecurityToken», который перенаправляется от фронтенда бэкенду.
  2. Ответ ошибки HTTP 500, раскрывающий панель управления Exchange.

Если грамотно использовать эти две особенности, атакующий сможет создать запросы к любой части бэкенда, включая настройки и панель управления, отмечает Туйен. Специалисты ожидают, что после публикации деталей бреши злоумышленники примутся активно атаковать уязвимые серверы.

К счастью, Microsoft устранила баг, который отслеживается под идентификатором CVE-2021-33766 ещё в июле. Поэтому всем администраторам ещё раз настоятельно рекомендуется установить вышедшие патчи.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры проникают в смартфоны Xiaomi и подделывают платежи

В моделях Xiaomi Redmi Note 9T и Redmi Note 11 обнаружены уязвимости, с помощью которых можно “вырубить” мобильные платежи и подделать транзакции. В устройство аферисты проникают через мошенническое приложение для Android.

О недостатках в телефонах на базе MediaTek сообщили в отчете специалисты Check Point. По версии компании, “дыру” нашли в надежной среде выполнения (TEE) китайского производителя телефонов.

TEE относится к безопасной области внутри главного процессора. Она гарантирует, что код и загруженные данные будут защищены с точки зрения конфиденциальности и целостности.

Израильская компания обнаружила, что приложение на устройстве Xiaomi может быть скомпрометировано. Это позволяет злоумышленнику заменить новую безопасную версию приложения старой уязвимой (даунгрейд).

“Злоумышленник может обойти обновления безопасности Xiaomi или MediaTek для проверенных приложений, понизив их до непропатченных версий”, — говорит исследователь из Check Point Слава Маккавеев.

 

Уязвимости нашли и в “thhadmin”, легитимном приложении, отвечающим за управление безопасностью. С их помощью вредоносная программа собирает сохраненные ключи и может сама управлять приложением.

“Мы обнаружили уязвимости, которые позволяют подделывать платежи или отключать платежную систему напрямую из приложения для Android”, — уточняет Маккавеев.

Цель хакеров — проникнуть в разработки Xiaomi и управлять сервисом Tencent Soter, который служит базой при авторизации транзакций для WeChat и Alipay.

Это еще не все. Check Point обнаружили, что вредоносный код может извлекать закрытые ключи для подписи платежных поручений. Уязвимость полностью компрометирует платформу Tencent Soter, говорят исследователи.

Xiaomi в июне выпустила патчи для устранения уязвимости CVE-2020-14125. Загруженные обновления должны закрывать “дыру”, добавляют в Check Point.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru