一、CISA命令各機構修補正在用於攻擊的新的Windows 0day漏洞(7.12)
CISA已將 Windows 客戶端/伺服器執行時子系統 (CSRSS) 中被主動利用的本地許可權提升漏洞新增到其野外濫用的錯誤列表中。
詳細情況
這個高危安全漏洞(跟蹤為 CVE-2022-22047)會影響伺服器和客戶端 Windows平臺,包括最新的 Windows 11 和 Windows Server 2022 版本。
微軟已在2022年7月星期二補丁日中對其進行了修補,並歸類為0day,因為它在修復程式釋出前曾在攻擊中被濫用。
微軟在今天釋出的安全公告中解釋說:“攻擊者如果成功利用此漏洞,可以獲得系統許可權。” Redmond說,該漏洞是由微軟威脅情報中心(MSTIC)和微軟安全響應中心(MSRC)在內部發現的。
Bleeping Computer今天早些時候還聯絡了微軟,詢問在攻擊中該漏洞是如何使用的。
聯邦機構的修補時限為三週後
CISA 已給這些機構三週時間(直到 8 月 2 日)來修補被積極利用的 CVE-2022-22047 漏洞,並阻止針對其系統的持續攻擊。
根據11月釋出的約束運營指令(BOD 22-01),所有聯邦民政行政機構(FCEB)機構必須保護其網路免受CISA已知利用漏洞(KEV)目錄中新增安全漏洞的侵害。
儘管BOD 22-01指令僅適用於美國聯邦機構,但CISA也強烈敦促美國所有組織修復此Windows CSRSS特權提升漏洞,以防止攻擊者企圖在未修補的Windows系統上升級特權。美國網路安全機構解釋道:“這些型別的漏洞是惡意網路行為者的常見攻擊媒介,對聯邦企業有嚴重威脅。”
自BOD 22-01釋出以來,CISA已在其攻擊中利用的漏洞列表中新增了數百個安全漏洞,命令美國聯邦機構儘快修補其系統以防止漏洞。
參考連結
https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-new-windows-zero-day-used-in-attacks/?&web_view=true
二、透過 Azure VM 和 GitHub Actions進行加密挖掘攻擊(7.15)
研究人員披露了針對Azure虛擬機器(VMs)和GitHub Actions(GHAs)的基於雲的加密貨幣挖掘攻擊。
詳細情況
加密攻擊
趨勢科技(Trend Micro) 的研究人員提供了一份報告,詳細介紹了這些攻擊。
---超過一千個儲存庫和550個程式碼示例被發現濫用GitHub Actions來使用GitHub提供的執行器來挖掘加密貨幣。
---攻擊者進一步使用託管在Azure上的Windows runners來挖掘加密貨幣。
---它應用永續性技術來隱藏GitHub並防止其操作被禁用。
---攻擊者通常透過利用環境中的安全漏洞(例如弱憑據,未修補的漏洞或配置錯誤的雲實施)進入雲部署。
技術見解
攻擊者濫用GitHub提供的runners,透過組織的管道和自動化來惡意下載和安裝挖礦程式。
· Linux和Windows runners被託管在Azure上的Standard_DS2_v2 VM上,具有兩個vCPU和7GB記憶體。
· 此外,研究人員分析了GitHub上發現的不同GHA YAML指令碼,這些指令碼試圖挖掘各種加密貨幣。
加密攻擊對組織的影響
研究人員表示,被礦工感染的基礎設施的效能會降低。此外,它還會導致企業的線上服務中斷,進而影響組織的聲譽。
· 為了展示此類攻擊如何影響組織,研究人員在其一個系統上部署了XMRig,該系統將CPU使用率從平均13%提高到100%。
· 因此,對於單個雲例項,目標組織的電力成本從每月 20美元增加到 130美元(+600%)。
建議
組織應定期監控其 GitHub Actions是否存在任何濫用跡象。及早發現雲環境中可能的漏洞利用對於在此類攻擊造成任何重大損害之前阻止它們非常重要。此外,請確保GHA中沒有加密貨幣錢包。
參考連結
https://cyware.com/news/crypto-mining-attacks-through-azure-vms-and-github-actions-f1dd44e5