ТОП-3 ИБ-событий недели по версии Jet CSIRT +4




Сегодня в ТОП-3 — уязвимость в Cobalt Strike, новый вектор эксплуатации PrintNightmare и обнаружение северов группировки APT29. Новости собирал Андрей Маслов, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.

В Cobalt Strike выявлена DoS уязвимость Hotcobalt


Специалистам компании SentinelLabs удалось обнаружить ряд DoS-уязвимостей в инструменте для тестирования на проникновение Cobalt Strike. Все выявленные уязвимости были объединены общим идентификатором CVE-2021-36798, а также общим именем Hotcobalt. Для успешной эксплуатации этих уязвимостей, необходимо зарегистрировать поддельные маяки на сервере с развёрнутым Cobalt Strike, после чего, можно отправить фальшивые задачи на этот сервер, что приведёт к исчерпанию доступной памяти.

Представлен новый вектор эксплуатации уязвимости PrintNightmare (CVE-2021-34527)


Исследователь кибербезопасности и создатель Mimikatz Бенджамин Делпи опубликовал новый способ эксплуатации уязвимости PrintNightmare. Ранее Microsoft выпустила обновление, которое должно было устранить эту уязвимость, однако вскоре было опубликовано несколько способов обхода данного исправления.
В своём исследовании PrintNightmare Делпи сконфигурировал удалённый сервер печати, доступный в сети Интернет, который позволяет устанавливать драйвер печати и запускать DLL-библиотеку с привилегиями SYSTEM.

Обнаружена новая C&C-инфраструктура APT-группировки APT29


Специалисты RiskIQ обнаружили более 30 серверов, которые группировка использует в рамках кампании по распространению вредоносного ПО WellMess.




К сожалению, не доступен сервер mySQL