ТОП-3 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-3 — RCE-уязвимость в PHP, раскрытие деталей о малоизвестной APT-группировке, атакующей организации в Европе и Азии, и новая атака DFSCoerce, позволяющая получить контроль над Windows-доменом. Новости собирала Анна Мельникова, специалист центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Специалисты QNAP обнаружили RCE-уязвимость в PHP

Уязвимость отслеживается как CVE-2019-11043 и имеет рейтинг критичности 9,8 по шкале CVSS. Ее эксплуатация возможна, только если на устройстве с ОС QNAP запущены nginx и php-fpm. До момента выяснения всех обстоятельств QNAP рекомендует клиентам перейти на новейшую версию операционных систем QTS или QuTS Hero, отключить устройства от интернета или отключить функцию переадресации портов маршрутизатора и UPnP QNAP NAS.

 Раскрыты детали действий APT-группировки ToddyCat

Целью злоумышленников обычно становились сервера Microsoft Exchange в Европе и Азии, которые удавалось скомпрометировать с помощью бэкдора Samurai. Вредоносное ПО выполняет произвольный код C# и позволяет хакеру удаленно управлять сервером и перемещаться внутри целевой сети. В некоторых случаях Samurai инициировал запуск инструмента для пост-эксплуатации Ninja, в задачи которого входило обеспечение совместной работы на одном узле. На данный момент ToddyCat продолжает свою активность, заражая даже персональные компьютеры через загрузчик в Telegram.

Злоумышленники могут захватить контроль над доменом с помощью ретрансляции Windows NTML

Эксперты Координационного центра CERT (CERT/CC) связывают новую атаку DFSCoerce с ранее известной PetitPotam. Передавая запрос проверки подлинности NTLM от контроллера домена в веб-службу регистрации центра сертификации или веб-службу регистрации сертификатов в системе AD CS, злоумышленник может получить сертификат и использовать его для доступа к TGT-билету из контроллера домена.

Для смягчения ретрансляционных атак NTML Microsoft рекомендует включать расширенную защиту для проверки подлинности (EPA) и подпись SMB, а также отключать HTTP на серверах AD CS.