Microsoft втихую устранила баг ShadowCoerce (атака на NTLM-ретранслятор)

Microsoft втихую устранила баг ShadowCoerce (атака на NTLM-ретранслятор)

Microsoft втихую устранила баг ShadowCoerce (атака на NTLM-ретранслятор)

Microsoft подтвердила, что в июне 2022 года разработчики устранили уязвимость ShadowCoerce, позволяющую злоумышленникам провести атаку на NTLM-ретранслятор Windows и получить контроль над доменом.

С помощью бреши условный атакующий мог заставить уязвимый сервер аутентифицироваться с другим сервером, находящимся под контролем злоумышленника.

Представитель Microsoft объяснил изданию BleepingComputer, что, несмотря на отсутствие публичного освещения проблемы, разработчики устранили уязвимость ShadowCoerce вместе с CVE-2022-30154, которая застраивает тот же компонент.

Интересно, что техногигант пока отмалчивается: патч выпустили, однако нет никаких технических деталей и даже идентификатора CVE. Именно поэтому на просторах Сети появились просьбы (1, 2, 3, 4) к Microsoft — действовать более прозрачно.

Напомним, что о ShadowCoerce в конце 2021 года рассказал исследователь Лайонел Гиллес. К счастью, для успешной эксплуатации по протоколу MS-FSRVP требуется, чтобы в системах была запущена служба File Server VSS Agent.

Согласно демонстрации Гиллеса, MS-FSRVP также уязвим перед атаками на NTLM-ретранслятор, что позволяло киберпреступникам принудительно аутентифицировать контроллер домена с вредоносным ретранслятором.

В июне мы писали про новую форму атаки — DFSCoerce, в которой используется распределённая файловая система MS-DFSNM для получения контроля над Windows-доменом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ГК Солар предложили меры против фрода: обмен, контроль, защита данных

На сессии «Цифровые мошенники. Киберреальность российской экономики» генеральный директор ГК «Солар» Игорь Ляпунов поговорил о том, почему фрод остаётся одной из самых устойчивых и сложных проблем цифровой среды.

Вместе с ним в обсуждении участвовали замглавы Минцифры Александр Шойтов, депутат Сергей Боярский и представители ИБ-отрасли.

Ляпунов отметил, что подход к борьбе с фродом пока напоминает лечение симптомов.

Тем временем кибермошенничество превратилось в огромный бизнес с оборотом около 160 миллиардов рублей.

«На той стороне — люди, которые работают, чтобы этот бизнес не закончился», — подчеркнул он.

По мнению спикера, важно не просто сдерживать атаки, а бить по их экономической основе, чтобы сделать такую деятельность попросту невыгодной.

Отдельно он указал на сложность ландшафта: в мошеннические схемы вовлечены сразу несколько отраслей — связь, банки, финтех.

«Всегда найдётся банк или оператор четвёртого эшелона, который ради прибыли обойдёт антифродовые меры», — пояснил Ляпунов.

По его словам, одна из ключевых проблем — постоянная эволюция фрода. Методы атак меняются каждый месяц, каналы — разные: СМС, мессенджеры, сайты. И каждый участник этой борьбы видит лишь небольшой кусок происходящего.

«Это задача, которую мы ещё не решали: подстраиваться под постоянно меняющийся профиль угроз. А нормативку каждые две недели мы точно не перепишем», — добавил он.

В качестве возможных решений Ляпунов предложил:

  • наладить полноценный информационный обмен между всеми участниками борьбы с фродом;
  • чётко разделить ответственность между всеми затронутыми отраслями;
  • сосредоточиться на предотвращении утечек данных, так как именно на их основе мошенники формируют списки жертв и улучшают свои схемы.

По мнению спикера, только комплексный подход и тесное сотрудничество между всеми участниками помогут переломить ситуацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru