What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-08-07 23:00:08 | Les appareils avec des services SSH non sécurisés sont partout, disons Infosec Duo Devices with insecure SSH services are everywhere, say infosec duo (lien direct) |
\\ 'Discovery sérendIPitous \' peut vous faire deviner vos appareils Black Hat Une chose drôle est arrivée aux chercheurs de sécurité de l'attaque de gestion de la surface d'attaque Runzero quand ils étaientCire dans la porte dérobée XZ plus tôt cette année: ils ont trouvé tout un tas de vulnérabilités provenant de services SSH mal sécurisés ou mis en œuvre.…
\'Serendipitous\' discovery may have you second guessing your appliances Black Hat A funny thing happened to security researchers at attack surface management company runZero when they were digging into the xz backdoor earlier this year: They found a whole bunch of vulnerabilities stemming from poorly secured or implemented SSH services.… |
Vulnerability | ||
 |
2024-08-07 22:05:00 | La surveillance des modifications de la liste KEV peut guider les équipes de sécurité Monitoring Changes in KEV List Can Guide Security Teams (lien direct) |
Le nombre d'ajouts au catalogue de vulnérabilités exploité connu augmente rapidement, mais même les changements silencieux dans les défauts déjà documentés peuvent aider les équipes de sécurité à hiérarchiser.
The number of additions to the Known Exploited Vulnerabilities catalog is growing quickly, but even silent changes to already-documented flaws can help security teams prioritize. |
Vulnerability | ||
 |
2024-08-07 21:26:22 | Protocole Nexera Defi piraté: 1,8 million de dollars volés dans les principaux contrats intelligents Exploit Nexera DeFi Protocol Hacked: $1.8M Stolen in Major Smart Contract Exploit (lien direct) |
Découvrez comment une vulnérabilité de contrat intelligent a conduit au vol de 1,8 million de dollars de Nexera, un protocole Defi. & # 8230;
Learn how a smart contract vulnerability led to the theft of $1.8 million from Nexera, a DeFi protocol.… |
Threat Vulnerability | ||
 |
2024-08-07 19:48:26 | Cayosoft publie la détection de menace Microsoft pour la vulnérabilité de contournement d'authentification VMware ESXi récemment découverte Cayosoft Releases Microsoft Threat Detection for Recently Discovered VMware ESXi Authentication Bypass Vulnerability (lien direct) |
Cayosoft Releases Microsoft Threat Detection for Recently Discovered VMware ESXi Authentication Bypass Vulnerability
Active Directory security provider updates threat detection to include automatic detection and rollback for actively exploited VMware vulnerability
-
Product Reviews
Cayosoft Releases Microsoft Threat Detection for Recently Discovered VMware ESXi Authentication Bypass Vulnerability Active Directory security provider updates threat detection to include automatic detection and rollback for actively exploited VMware vulnerability - Product Reviews |
Threat Vulnerability | ||
|
2024-08-07 19:40:26 | Rester en avance sur les adversaires avec la liste de contrôle du CISO Staying Ahead of Adversaries with the CISO Checklist (lien direct) |
De nombreuses organisations du monde entier fonctionnent avec une réduction du personnel au cours de l'été.Cela crée des opportunités uniques pour les acteurs de menace de retirer et d'exploiter les vulnérabilités.La minimisation des chances d'une attaque réussie consiste à s'assurer que votre organisation est bien préparée en s'assurant que vous suivez cette liste de contrôle. 1. L'importance des mesures de cybersécurité proactives pour comprendre pourquoi la sauvegarde de votre organisation au cours de l'été est si cruciale, laissez \\ un œil à une partie des (...)
-
opinion
Many organizations around the world operate with reduced staffing over the summer. This creates unique opportunities for threat actors to strike out and exploit vulnerabilities. Minimizing the chance of a successful attack involves ensuring your organization is well-prepared by making sure you\'re following this checklist. 1. Importance of Proactive Cybersecurity Measures To understand why safeguarding your organization over the summer is so crucial, let\'s take a look at some of the (...) - Opinion |
Threat Vulnerability | ||
 |
2024-08-07 19:40:00 | Nouvelle technique d'exploitation du noyau Linux \\ 'Slubstick \\' découvert par les chercheurs New Linux Kernel Exploit Technique \\'SLUBStick\\' Discovered by Researchers (lien direct) |
Les chercheurs en cybersécurité ont fait la lumière sur une nouvelle technique d'exploitation du noyau Linux surnommée Slubstick qui pourrait être exploitée pour élever une vulnérabilité limitée de tas à une primitive de lecture et d'écriture de mémoire arbitraire.
"Initialement, il exploite un canal de synchronisation de l'allocateur pour effectuer une attaque de cache croisé de manière fiable", a déclaré un groupe d'université de Graz University of Technology [PDF]."
Cybersecurity researchers have shed light on a novel Linux kernel exploitation technique dubbed SLUBStick that could be exploited to elevate a limited heap vulnerability to an arbitrary memory read-and-write primitive. "Initially, it exploits a timing side-channel of the allocator to perform a cross-cache attack reliably," a group of academics from the Graz University of Technology said [PDF]. " |
Threat Vulnerability | ★★★ | |
|
2024-08-07 19:35:20 | Endor Labs dévoile une nouvelle façon de corriger les risques de sécurité des applications Endor Labs Unveils A New Way To Remediate Application Security Risks (lien direct) |
Les dernières avancées des laboratoires d'Endor résolvent le problème critique de l'industrie et accélèrent l'assainissement de la vulnérabilité
-
revues de produits
Endor Labs Latest Advances Solve Critical Industry Problem and Speed Up Vulnerability Remediation - Product Reviews |
Vulnerability | ||
 |
2024-08-07 18:20:19 | Mirai Botnet attaquant la vulnérabilité de traversée du répertoire Apache Ofbiz Mirai Botnet Attacking Apache OFBiz Directory Traversal Vulnerability (lien direct) |
## Snapshot
Researchers at the SANS Internet Storm Center have identified the notorious Mirai botnet exploiting a directory traversal vulnerability in Apache OFBiz, a Java-based framework used for creating ERP applications. The vulnerability was patched in May and affects OFBiz versions before 18.12.13.
## Description
Attackers can trigger the vulnerability, tracked as [CVE-2024-32113](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2024-32113), by appending a semicolon to a URL, followed by a restricted URL, enabling them to execute arbitrary code. Recent attacks have been observed using a POST request with a URL parameter or a request body. Since the vulnerability details were made public, there has been a significant increase in scans targeting OFBiz, indicating active experimentation by attackers.
### Additional Analysis
Mirai is malware that infects smart devices that run on ARC processors, turning them into a network of remotely controlled bots or "zombies". This network of bots, called a botnet, is often used to launch DDoS attacks, according to [security researchers at Cloudflare](https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/). In recent months, other security researchers have reported on a range of vulnerabilities being exploited to deliver the Mirai botnet. For example, in May, Juniper Threat Labs reported that attackers are actively exploiting vulnerabilities in [Ivanti Pulse Secure VPN](https://sip.security.microsoft.com/intel-explorer/articles/2d95eb1b) appliances to deliver Mirai payloads through shell scripts. And in March, Cybereason Security Services discovered threat actors exploiting the [ActiveMQ vulnerability](https://sip.security.microsoft.com/intel-explorer/articles/9b8f807f)to download Mirai Botnet executables.
## Recommendations
This issue affects Apache OFBiz: before 18.12.13. Users are recommended to upgrade to version 18.12.13, which fixes the issue.
Microsoft recommends the following mitigations to reduce the impact of this threat.
- Harden internet-facing devices against attacks:
- [Maintain device health with updates](https://learn.microsoft.com/en-us/azure/defender-for-iot/organizations/release-notes?ocid=magicti_ta_learndoc): Make sure devices are up to date with the latest firmware and patches.
- [Use least-privileges access](https://learn.microsoft.com/en-us/azure/defender-for-iot/organizations/monitor-zero-trust?ocid=magicti_ta_learndoc): Use a secure virtual private network (VPN) service for remote access and restrict remote access to the device.
- Adopt a comprehensive IoT security solution such as [Microsoft Defender for IoT](https://www.microsoft.com/security/business/endpoint-security/microsoft-defender-iot?ocid=magicti_ss_mdti) to allow visibility and monitoring of all IoT and OT devices, threat detection and response, and integration with SIEM/SOAR and XDR platforms such as Microsoft Sentinel and Microsoft 365 Defender.
- Use security solutions with cross-domain visibility and detection capabilities like [Microsoft 365 Defender](https://www.microsoft.com/security/business/threat-protection/microsoft-365-defender?ocid=magicti_ss_mdti), which provides integrated defense across endpoints, identities, email, applications, and data.
## References
[Mirai Botnet Attacking Apache OFBiz Directory Traversal Vulnerability](https://gbhackers.com/apache-ofbiz-directory-traversal-vulnerability/). GBHackers (accessed 2024-08-07)
[Increased Activity Against Apache OFBiz CVE-2024-32113](https://isc.sans.edu/diary/Increased%20Activity%20Against%20Apache%20OFBiz%20CVE-2024-32113/31132 "https://isc.sans.edu/diary/increased%20activity%20against%20apache%20ofbiz%20cve-2024-32113/31132"). SANS Internet Storm Center (accessed 2024-08-07)
## Copyright
**© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibited.
## Snapshot Res |
Threat Malware Industrial Vulnerability | ||
 |
2024-08-07 16:24:33 | Attaque de rétrogradation de la mise à jour Windows "Débattre" Systèmes entièrement mis à jour Windows Update downgrade attack "unpatches" fully-updated systems (lien direct) |
Le chercheur de sécurité de SafeBreach, Alon Leviev, a découvert une attaque de rétrogradation de la mise à jour de Windows qui peut "déboucher" entièrement mis en place des systèmes Windows 10, Windows 11 et Windows Server pour réintroduire les anciennes vulnérabilités [...]
SafeBreach security researcher Alon Leviev discovered a Windows Update downgrade attack that can "unpatch" fully-updated Windows 10, Windows 11, and Windows Server systems to reintroduce old vulnerabilities [...] |
Vulnerability | ||
|
2024-08-07 15:46:28 | Vulnérabilités de réseau d'énergie solaire critique risque les pannes d'électricité mondiales Critical Solar Power Grid Vulnerabilities Risk Global Blackouts (lien direct) |
La société de cybersécurité Bitdefender révèle des vulnérabilités critiques dans les plates-formes de gestion d'énergie solaire, mettant 20% de la production solaire mondiale AT & # 8230;
Cybersecurity firm Bitdefender reveals critical vulnerabilities in solar power management platforms, putting 20% of global solar production at… |
Vulnerability | ★★★★ | |
 |
2024-08-07 15:00:00 | Le chercheur semble alarme sur les défauts de mise à jour Windows permettant des attaques de dégradation indétectables Researcher Sounds Alarm on Windows Update Flaws Allowing Undetectable Downgrade Attacks (lien direct) |
> Le chercheur met en valeur un piratage contre l'architecture de mise à jour de Microsoft Windows, transformant les vulnérabilités fixes en zéro jour.
>Researcher showcases hack against Microsoft Windows Update architecture, turning fixed vulnerabilities into zero-days. |
Hack Vulnerability | ★★★★ | |
|
2024-08-07 13:34:42 | Les attaques de phishing peuvent contourner les avertissements de sécurité par e-mail Microsoft 365 Phishing Attacks Can Bypass Microsoft 365 Email Safety Warnings (lien direct) |
Une vulnérabilité dans les mesures antiphishing de Microsoft 365 & # 8217;
A vulnerability in Microsoft 365’s anti-phishing measures allows malicious actors to deceive users into opening harmful emails by… |
Vulnerability | ★★★ | |
 |
2024-08-07 13:30:00 | #Bhusa: Darpa \\'s Ai Cyber Challenge se réchauffe en tant que montres du secteur des soins de santé #BHUSA: DARPA\\'s AI Cyber Challenge Heats Up as Healthcare Sector Watches (lien direct) |
L'IA Cyber Challenge de Darpa \\ s'est enrôlé l'IA pour lutter contre les vulnérabilités des logiciels, le secteur de la santé en regardant de près les demi-finales comme une solution potentielle à l'élévation des cyber-menaces
DARPA\'s AI Cyber Challenge is enlisting AI to fight software vulnerabilities, with the healthcare sector closely watching the semi-finals as a potential solution to rising cyber threats |
Vulnerability Medical | ★★★ | |
 |
2024-08-06 17:18:46 | Google dit qu'Android Zero-Day a été exploité dans la nature Google says Android zero-day was exploited in the wild (lien direct) |
Pas de details / No more details | Threat Mobile Vulnerability | ★★ | |
|
2024-08-06 15:00:00 | Siemens Family Security Update Advisory (lien direct) | Aperçu Une mise à jour a été mise à disposition pour corriger les vulnérabilités dans Siemens Products.Il est conseillé aux utilisateurs de produits affectés de mettre à jour la dernière version.& # 160;Produits affectés & # 160;CVE-2024-38876 Version du serveur d'applications T3000 Omnivise T3000: ~ R9.2 (inclus) Omnivise T3000 Domain Controller Version: ~ R9.2 (inclus) Omnivise T3000 Product Data Management (PDM) Version: ~ R9.2 [& # 8230;]]
Overview An update has been made available to fix vulnerabilities in Siemens products. Users of affected products are advised to update to the latest version. Affected Products CVE-2024-38876 Omnivise T3000 Application Server versions: ~ R9.2 (inclusive) Omnivise T3000 Domain Controller version: ~ R9.2 (inclusive) Omnivise T3000 Product Data Management (PDM) version: ~ R9.2 […] |
Vulnerability | ||
|
2024-08-06 15:00:00 | APCACH OFBIZ Product Security Update Advisory (CVE-2024-38856) Apache OFBiz Product Security Update Advisory (CVE-2024-38856) (lien direct) |
Présentation Apache a publié une mise à jour pour aborder une vulnérabilité dans leur produit OFBIZ.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.Produits affectés & # 160;CVE-2024-38856 APACHE OFBIZ Versions: ~ 18.12.15 (exclues) & # 160;& # 160;Vulnérabilités résolues & # 160;Vulnérabilité d'exécution du code distant dans Apache OfBiz (CVE-2024-38856) & # 160;& # 160;Patchs de vulnérabilité Patches de vulnérabilité [& # 8230;]
Overview Apache has released an update to address a vulnerability in their OFBiz product. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-38856 Apache OFBiz versions: ~ 18.12.15 (excluded) Resolved Vulnerabilities Remote code execution vulnerability in Apache OFBiz (CVE-2024-38856) Vulnerability Patches Vulnerability Patches […] |
Vulnerability | ||
|
2024-08-06 15:00:00 | Mme Family août 2024 Routine Security Update Advisory MS Family August 2024 Routine Security Update Advisory (lien direct) |
Aperçu & # 160;Microsoft (https://www.microsoft.com) a publié une mise à jour de sécurité qui corrige les vulnérabilités des produits qu'il a été fabriqués.Il est conseillé aux utilisateurs de produits affectés de mettre à jour la dernière version.& # 160;Produits affectés & # 160;Microsoft Copilot Studio Family Microsoft Copilot Studio & # 160;Microsoft Dynamics 365 Family Dynamics CRM Service Portal Web Resource & # 160;& # 160;Résolu [& # 8230;]
Overview Microsoft (https://www.microsoft.com) has released a security update that fixes vulnerabilities in products it has been made. Users of affected products are advised to update to the latest version. Affected Products Microsoft Copilot Studio Family Microsoft Copilot Studio Microsoft Dynamics 365 Family Dynamics CRM Service Portal Web Resource Resolved […] |
Vulnerability | ★★ | |
|
2024-08-06 15:00:00 | Rockwell Automation Family Security Update Advisory (CVE-2024-6242) (lien direct) | Aperçu & # 160;Rockwell Automation a publié des mises à jour pour corriger les vulnérabilités de leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.Produits affectés & # 160;CVE-2024-6242 CONTROLLOGIX & REG;5580 (1756-L8Z) Version: V28 & # 160;GuardLogix & Reg;5580 (1756-L8ZS) Version: V31 & # 160;1756-EN4TR Version: V2 1756-EN2T, série A / B / C Version: V5.007 (non signé) / V5.027 (signé) 1756-EN2F, Série A / B Versions: [& # 8230;]
Overview Rockwell Automation has released updates to fix vulnerabilities in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-6242 ControlLogix® 5580 (1756-L8z) version: V28 GuardLogix® 5580 (1756-L8zS) version: V31 1756-EN4TR version: V2 1756-EN2T, Series A/B/C version: V5.007 (unsigned)/ V5.027 (signed) 1756-EN2F, Series A/B versions: […] |
Vulnerability | ★★ | |
|
2024-08-06 13:15:00 | CVES augmente de 30% en 2024, seulement 0,91% CVEs Surge 30% in 2024, Only 0.91% Weaponized (lien direct) |
Only 0.91% of vulnerabilities of the reported CVEs were weaponized, but represent the most severe risks
Only 0.91% of vulnerabilities of the reported CVEs were weaponized, but represent the most severe risks |
Vulnerability | ★★★★ | |
|
2024-08-06 13:00:00 | Rockwell Plc Security Typass menace les processus de fabrication Rockwell PLC Security Bypass Threatens Manufacturing Processes (lien direct) |
Une vulnérabilité de sécurité dans les contrôleurs logiques programmables de Rockwell Automation \'s, suivis en CVE-2024-6242, pourrait permettre la falsification de processus physiques aux plantes.
A security vulnerability in Rockwell Automation\'s ControlLogix 1756 programmable logic controllers, tracked as CVE-2024-6242, could allow tampering with physical processes at plants. |
Vulnerability | ★★★★ | |
|
2024-08-06 11:42:00 | Google Patches Nouvelle vulnérabilité du noyau Android exploité dans la nature Google Patches New Android Kernel Vulnerability Exploited in the Wild (lien direct) |
Google a abordé un défaut de sécurité à haute sévérité ayant un impact sur le noyau Android qu'il a été activement exploité dans la nature.
La vulnérabilité, suivie en CVE-2024-36971, a été décrite comme un cas d'exécution de code distante impactant le noyau.
"Il y a des indications que le CVE-2024-36971 peut être sous une exploitation limitée et ciblée", a noté le géant de la technologie dans sa sécurité Android mensuelle
Google has addressed a high-severity security flaw impacting the Android kernel that it has been actively exploited in the wild. The vulnerability, tracked as CVE-2024-36971, has been described as a case of remote code execution impacting the kernel. "There are indications that CVE-2024-36971 may be under limited, targeted exploitation," the tech giant noted in its monthly Android security |
Mobile Vulnerability | ★★★ | |
|
2024-08-06 09:46:00 | Le nouveau défaut zéro-jour dans Apache Ofbiz ERP permet l'exécution du code distant New Zero-Day Flaw in Apache OFBiz ERP Allows Remote Code Execution (lien direct) |
Une nouvelle vulnérabilité d'exécution de code à distance pré-authentification zéro-jour a été divulguée dans le système APACHE OFBIZ Open-Source Enterprise Planning (ERP) qui pourrait permettre aux acteurs de la menace d'atteindre l'exécution du code distant sur les instances affectées.
Suivi sous le nom de CVE-2024-38856, le défaut a un score CVSS de 9,8 sur un maximum de 10,0.Il affecte les versions Apache Ofbiz avant 18.12.15.
"Le
A new zero-day pre-authentication remote code execution vulnerability has been disclosed in the Apache OFBiz open-source enterprise resource planning (ERP) system that could allow threat actors to achieve remote code execution on affected instances. Tracked as CVE-2024-38856, the flaw has a CVSS score of 9.8 out of a maximum of 10.0. It affects Apache OFBiz versions prior to 18.12.15. "The |
Threat Vulnerability | ★★★ | |
|
2024-08-06 08:35:46 | Tenable® lance " Vulnerability Intelligence " et de " Réponse aux expositions " (lien direct) | Tenable " Vulnerability Intelligence " et " Réponse aux expositions ", deux fonctionnalités pour éliminer les cyber-expositions les plus critiques Tenable offre ainsi une veille et un renseignement exploitables sur les environnements IT et cloud. - Produits | Cloud Vulnerability | ★★ | |
 |
2024-08-06 03:18:15 | Tripwire Patch Priority Index pour juillet 2024 Tripwire Patch Priority Index for July 2024 (lien direct) |
Tripwire \\’s Juillet 2024 Patch Priority Index (PPI) rassemble des vulnérabilités importantes pour Microsoft.Les correctifs pour Microsoft Office et Outlook qui résolvent l'exécution du code distant et les vulnérabilités de l'usurpation des code à distance.Viennent ensuite les correctifs qui affectent les composants du système d'exploitation Windows central.Ces correctifs résolvent plus de 65 vulnérabilités, notamment une élévation des privilèges, une divulgation d'informations, une contournement des fonctionnalités de sécurité, un déni de service et des vulnérabilités d'exécution de code distantes.Ces vulnérabilités affectent les fenêtres de base, le noyau, les services cryptographiques, l'imagerie, la couche 2 ...
Tripwire\'s July 2024 Patch Priority Index (PPI) brings together important vulnerabilities for Microsoft. First on the list are patches for Microsoft Office and Outlook that resolve remote code execution and spoofing vulnerabilities. Next are patches that affect components of the core Windows operating system. These patches resolve over 65 vulnerabilities, including elevation of privilege, information disclosure, security feature bypass, denial of service, and remote code execution vulnerabilities. These vulnerabilities affect core Windows, Kernel, Cryptographic Services, Imaging, Layer-2... |
Vulnerability | ★★★ | |
 |
2024-08-06 00:00:00 | Félicitations aux chercheurs en sécurité les plus précieux du PDSF 2024! Congratulations to the MSRC 2024 Most Valuable Security Researchers! (lien direct) |
Le programme de reconnaissance des chercheurs de Microsoft offre des remerciements et une reconnaissance publiques aux chercheurs en sécurité qui aident à protéger nos clients en découvrant et en partageant des vulnérabilités de sécurité dans le cadre de la divulgation de vulnérabilité coordonnée.
Aujourd'hui, nous sommes ravis de reconnaître les 100 chercheurs (MVR) les plus précieux de cette année, sur la base du nombre total de points gagnés pour chaque rapport valide.
The Microsoft Researcher Recognition Program offers public thanks and recognition to security researchers who help protect our customers through discovering and sharing security vulnerabilities under Coordinated Vulnerability Disclosure. Today, we are excited to recognize this year\'s 100 Most Valuable Researchers (MVRs), based on the total number of points earned for each valid report. |
Vulnerability | ★★★ | |
|
2024-08-05 21:26:54 | Russian APT Fighting Ursa cible les diplomates avec des logiciels malveillants de tête à l'aide de fausses annonces de vente de voitures Russian APT Fighting Ursa Targets Diplomats with HeadLace Malware Using Fake Car Sale Ads (lien direct) |
#### Industries ciblées - agences et services gouvernementaux - Diplomatie / relations internationales ## Instantané Les chercheurs de l'unité 42 ont identifié une campagne probablement attribuée à l'acteur de menace russe combattant Ursa (aka [Forest Blizzard] (https://sip.security.microsoft.com/intel-profiles/dd75f93b2a71c9510dceec817b9d34d868c2d1353d08c8c1647d868c2d1353d08c8c1647d868c2d1353d08c8c847De067270f. , Apt28, ours fantaisie) qui a utilisé unAPUTER LA VOLAGE DE VENTE comme un leurre pour distribuer les logiciels malveillants de la porte de la tête.La campagne a ciblé les diplomates et a commencé en mars 2024. ## Description Le leurre initial a été hébergé par le service légitime webhook.site et a conduit à la distribution de la page HTML malveillante.Le logiciel malveillant téléchargé, déguisé en publicité automobile, contenait la porte dérobée de la tête, qui a exécuté par étapes pour échapper à la détection.L'attaque s'appuyait fortement sur les services publics et gratuits pour héberger des leurres et diverses étapes de l'attaque.Le code HTML vérifie les ordinateurs Windows et redirige les visiteurs non-Windows vers une image de leurre sur IMGBB.Le code crée ensuite une archive zip à partir du texte Base64, l'offrant pour le téléchargement et la tentative de l'ouvrir avec la fonction javascript click ().L'archive zip téléchargée contient un fichier avec une double extension de .jpg.exe, qui est une copie du fichier de calculatrice de Windows légitime que Calc.exe a utilisé pour mettre à côté le fichier DLL inclus WindowsCodecs.dll, un composant de la porte arrière de la tête. La lutte contre l'Ursa est connue pour exploiter continuellement des vulnérabilités connues même après que leur couverture a été soufflée.L'infrastructure du groupe \\ évolue constamment, et il devrait continuer à utiliser des services Web légitimes dans son infrastructure d'attaque. ## Analyse Microsoft Cette tactique de l'utilisation de leurres de phishing diplomatique de voitures diplomatiques a été précédemment observée avec d'autres groupes de menaces russes.En septembre 2023, Microsoft Threat Intelligence a observé probablement [Midnight Blizzard]. 831] (https://sip.security.Microsoft.com/intel-explorer/cves/cve-2023-38831/description) Vulnérabilité dans Rarlabs Winrar pour cibler les réseaux de plus de 40 organisations diplomatiques et intergouvernementales (IGO).Les acteurs de la menace ont envoyé des courriels de phishing de lance avec des archives zippées malveillantes, demandant aux destinataires d'ouvrir la pièce jointe pour voir les détails d'une voiture diplomatique à vendre.Lire la suite [ici] (https://sip.security.microsoft.com/intel-explorer/articles/af5bdd1c). ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme malWare: - [Trojan: script / obfuse] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:js/obfuse) - [Trojan: html / phish] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:html/phish) ## Recommandations Investissez dans des solutions avancées et anti-phishing qui surveillent les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_Ta_learnDoc) rassemble une gestion des incidents et des alertes à travers les e-mails, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentify and Block] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_LearnDoc) sont des sites Web malveillants, y compris ceux utilisés dans cette campagne de phishing. • Exécutez la détection et la | Threat Malware Tool Vulnerability | APT 28 | ★★★★ |
|
2024-08-05 20:25:04 | CheckMarx introduit la sécurité avancée des conteneurs Checkmarx Introduces Advanced Container Security (lien direct) |
CheckMarx introduit la sécurité avancée des conteneurs, offrant une réduction de vulnérabilité jusqu'à 40% et des gains d'efficacité significatifs
La détection de menace améliorée combine une analyse statique avec une analyse des packages malveillants et des informations d'exécution sysdig intégrées
-
revues de produits
Checkmarx Introduces Advanced Container Security, Delivering Up to 40% Vulnerability Reduction and Significant Efficiency Gains Enhanced threat detection combines static analysis with malicious package analysis and integrated Sysdig runtime insights - Product Reviews |
Threat Vulnerability | ★★★ | |
|
2024-08-05 19:15:23 | La vulnérabilité critique Apache Ofbiz permet de préautiquer RCE Critical Apache OFBiz Vulnerability Allows Preauth RCE (lien direct) |
La plate-forme de planification des ressources d'entreprise Bug CVE-2024-38856 a un score de vulnérabilité-sévérité de 9,8 sur 10 sur l'échelle CVSS et offre une large avenue dans les applications d'entreprise pour les cyberattaques.
The enterprise resource planning platform bug CVE-2024-38856 has a vulnerability-severity score of 9.8 out of 10 on the CVSS scale and offers a wide avenue into enterprise applications for cyberattackers. |
Vulnerability | ★★★ | |
|
2024-08-05 18:40:48 | Google fixe le noyau Android Zero-Day exploité dans des attaques ciblées Google fixes Android kernel zero-day exploited in targeted attacks (lien direct) |
Android Security met à jour ce mois-ci les vulnérabilités du correctif 46, y compris une exécution de code distante à haute sévérité (RCE) exploitée dans des attaques ciblées.[...]
Android security updates this month patch 46 vulnerabilities, including a high-severity remote code execution (RCE) exploited in targeted attacks. [...] |
Threat Mobile Vulnerability | ★★★ | |
 |
2024-08-05 17:59:09 | Tenable fait ses débuts sur les données de renseignement et les capacités de réponse à la vulnérabilité pour exposer et fermer les menaces prioritaires Tenable debuts vulnerability intelligence data and response capabilities to expose and close priority threats (lien direct) |
> La société de gestion de l'exposition Tenable a annoncé lundi la publication de la réponse à la vulnérabilité et à la réponse à l'exposition, deux priorisations axées sur le contexte ...
>Exposure management company Tenable announced on Monday the release of Vulnerability Intelligence and Exposure Response, two context-driven prioritization... |
Vulnerability | ★★★ | |
|
2024-08-05 15:49:06 | Qualys fait progresser la plate-forme Trurisk Enterprise To-riss Qualys Advances Enterprise TruRisk Platform to De-Risk Generative AI and LLM Usage from Security and Compliance Challenges (lien direct) |
nouvelle solution, Qualits Totalai, permet une évaluation holistique de découverte et de vulnérabilité des charges de travail de l'IA pour détecter les fuites de données, les problèmes d'injection et le vol de modèle
-
revues de produits
New solution, Qualys TotalAI, enables holistic discovery and vulnerability assessment of AI workloads to detect data leaks, injection issues and model theft - Product Reviews |
Vulnerability | ★★★ | |
|
2024-08-05 15:30:00 | La vulnérabilité critique dans Apache Ofbiz nécessite des correctifs immédiats Critical Vulnerability in Apache OFBiz Requires Immediate Patching (lien direct) |
Sonicwall a découvert l'Apache ofbiz Flaw, l'identifiant comme un problème critique permettant l'exécution de code distant non authentifié
SonicWall discovered the Apache OFBiz flaw, identifying it as a critical issue enabling unauthenticated remote code execution |
Patching Vulnerability | ★★★ | |
|
2024-08-05 15:00:00 | Advisory de mise à jour de la sécurité du plugin WordPress (CVE-2024-6220, CVE-2024-5488) WordPress Plugin Security Update Advisory (CVE-2024-6220, CVE-2024-5488) (lien direct) |
Aperçu & # 160;WordPress a publié une mise à jour pour aborder une vulnérabilité dans leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.& # 160;& # 160;Produits affectés & # 160;CVE-2024-6220 WordPress KeyDatas Plugin Version: ~ 2.5.2 (inclus) & # 160;CVE-2024-5488 & # 160;Version du plugin WordPress Seopress: ~ 7.9 (exclu) & # 160;Vulnérabilités résolues & # 160;La fonction keyDatas_downloadImages [& # 8230;]
Overview WordPress has released an update to address a vulnerability in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-6220 WordPress keydatas plugin version: ~ 2.5.2 (included) CVE-2024-5488 WordPress SEOPress plugin version: ~ 7.9 (excluded) Resolved Vulnerabilities The keydatas_downloadImages function […] |
Vulnerability | ★★ | |
|
2024-08-05 15:00:00 | AMPROS DE LA SÉCURITÉ DES PRODUITS DE LA SÉCURITÉ (CVE-2024-2937, CVE-2024-4607) Arm Product Security Update Advisory (CVE-2024-2937, CVE-2024-4607) (lien direct) |
Aperçu & # 160;ARM Developer (https://developer.arm.com/) a publié une mise à jour pour aborder une vulnérabilité dans leur produit.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.Produits affectés & # 160;CVE-2024-2937, CVE-2024-4607 Versions du pilote de noyau GPU BIFost: R41P0 (inclusif) ~ R49p0 (inclusif) Valhall GPU Versions du pilote du noyau: R41p0 (inclusive) ~ R49p0 (inclus) Arm 5e [& # 8230;]
Overview Arm Developer(https://developer.arm.com/ ) has released an update to address a vulnerability in their product. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-2937, CVE-2024-4607 Bifrost GPU kernel driver versions : r41p0 (inclusive) ~ r49p0 (inclusive) Valhall GPU Kernel Driver versions: r41p0 (inclusive) ~ r49p0 (inclusive) Arm 5th […] |
Vulnerability | ★★ | |
|
2024-08-05 15:00:00 | Android Family août 2024 Routine Security Update Advisory Android Family August 2024 Routine Security Update Advisory (lien direct) |
Aperçu Android a publié une mise à jour pour corriger les vulnérabilités de leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.Produits affectés & # 160;CVE-2024-23381, CVE-2024-23382, CVE-2024-23383, CVE-2024-23384, CVE-2024-33010, CVE-2024-33011, CVE-2024-33012, CVE-2024-33013, CVE-2024-33014, CVE-2024-33015, CVE-2024-33018, CVE-2024-33019, CVE-2024-33020, CVE-2024-33023, CVE-2024-33024, CVE-2024-33025, CVE-2010--33026, CVE-2024-33027, CVE-2024-33028 Voir & # 8220; Qualcomm Components & # 8221;dans le site de référence [1] & # 160;CVE-2024-21481, [& # 8230;]
Overview Android has released an update to fix vulnerabilities in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-23381, CVE-2024-23382, CVE-2024-23383, CVE-2024-23384, CVE-2024-33010, CVE-2024-33011, CVE-2024-33012, CVE-2024-33013, CVE-2024-33014, CVE-2024-33015, CVE-2024-33018, CVE-2024-33019, CVE-2024-33020, CVE-2024-33023, CVE-2024-33024, CVE-2024-33025, CVE-2024-33026, CVE-2024-33027, CVE-2024-33028 See “Qualcomm Components” in the reference site[1] Cve-2024-21481, […] |
Mobile Vulnerability | ★★ | |
 |
2024-08-05 15:00:00 | Courriels du gouvernement à risque: vulnérabilité critique de script inter-sites dans le webmail Roundcube Government Emails at Risk: Critical Cross-Site Scripting Vulnerability in Roundcube Webmail (lien direct) |
Sonar & acirc; & euro; ™ s l'équipe R & D a découvert une vulnérabilité de script inter-sites dans Roundcube.Des vulnérabilités similaires dans Roundcube ont été utilisées par APTS pour voler des courriels gouvernementaux.
Sonar’s R&D team discovered a Cross-Site Scripting vulnerability in Roundcube. Similar vulnerabilities in Roundcube have been used by APTs to steal government emails. |
Vulnerability | ★★★ | |
|
2024-08-05 11:53:13 | Une nouvelle attaque de Slubstick rend les vulnérabilités du noyau Linux plus dangereuses New SLUBStick Attack Makes Linux Kernel Vulnerabilities More Dangerous (lien direct) |
> Une nouvelle technique d'exploitation du noyau Linux nommé Slubstick rend les vulnérabilités de tas plus dangereuses.
>A new Linux kernel exploitation technique named SLUBStick makes heap vulnerabilities more dangerous. |
Vulnerability | ★★★ | |
|
2024-08-05 11:37:00 | Les appareils d'automatisation de Flaw Critical dans Rockwell permettent un accès non autorisé Critical Flaw in Rockwell Automation Devices Allows Unauthorized Access (lien direct) |
Une vulnérabilité de contournement de sécurité à haute sévérité a été divulguée dans les dispositifs Rockwell Automation Contrôlogix 1756 qui pourraient être exploités pour exécuter des commandes de programmation et de configuration de protocole industriel commun (CIP).
La faille, qui se voit l'identifiant CVE CVE-2024-6242, propose un score CVSS V3.1 de 8,4.
"Une vulnérabilité existe dans les produits affectés qui permet à un acteur de menace de
A high-severity security bypass vulnerability has been disclosed in Rockwell Automation ControlLogix 1756 devices that could be exploited to execute common industrial protocol (CIP) programming and configuration commands. The flaw, which is assigned the CVE identifier CVE-2024-6242, carries a CVSS v3.1 score of 8.4. "A vulnerability exists in the affected products that allows a threat actor to |
Threat Industrial Vulnerability | ★★★★ | |
|
2024-08-05 10:51:17 | Faits saillants hebdomadaires, 5 août 2024 Weekly OSINT Highlights, 5 August 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ de Osint mettent en évidence plusieurs tendances clés du paysage cyber-menace, caractérisées par des tactiques d'attaque sophistiquées et des acteurs de menace adaptables.Les types d'attaques prédominants impliquent le phishing, l'ingénierie sociale et l'exploitation des vulnérabilités des logiciels, avec des vecteurs courants, y compris des pièces jointes malveillantes, des sites Web compromis, l'empoisonnement du DNS et la malvertisation.Les campagnes notables ont ciblé les utilisateurs de l'UKR.NET, les clients de la BBVA Bank et les pages de médias sociaux détournées pour imiter les éditeurs de photos populaires de l'IA.De plus, l'exploitation des erreurs de configuration dans des plates-formes largement utilisées telles que Selenium Grid et TryCloudflare Tunnel indique une focalisation stratégique sur la mise en œuvre d'outils légitimes à des fins malveillantes. Les acteurs de la menace vont de groupes d'État-nation comme les acteurs nord-coréens, l'APT41 et le Sidewinder, aux cybercriminels et à des groupes hacktiviste motivés financièrement tels que Azzasec.Les techniques d'évasion avancées et les stratégies d'ingénierie sociale sont utilisées par des acteurs comme l'UAC-0102, Black Basta et ceux qui exploitent les problèmes de mise à jour de la crowdsstrike.Les objectifs sont diversifiés, couvrant des organisations gouvernementales et militaires, des institutions financières, des réseaux d'entreprise, des petites et moyennes entreprises et des utilisateurs individuels dans diverses régions. ## Description 1. [Campagne révisée de dev # popper] (https://sip.security.microsoft.com/intel-explorer/articles/9f6ee01b): les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels à l'aide de fausses entretiens d'emploi pour distribuer des logiciels malveillants via des packages de fichiers zip.La campagne, affectant plusieurs systèmes d'exploitation et régions, utilise des tactiques avancées d'obscurcissement et d'ingénierie sociale pour le vol de données et la persistance. 2. [Specula Framework exploite Outlook] (https://sip.security.microsoft.com/intel-explorer/articles/4b71ce29): un nouveau cadre post-exploitation appelé "Specula" lever.En dépit d'être corrigé, cette méthode est utilisée par l'APT33 parrainé par l'iranien pour atteindre la persistance et le mouvement latéral dans les systèmes Windows compromis. 3. [Phishing with Sora AI Branding] (https://sip.security.microsoft.com/intel-explorer/articles/b90cc847): les acteurs de menace exploitent l'excitation autour de Sora AI inédite en créant des sites de phishing pour se propager des logiciels malveillants.Ces sites, promus via des comptes de médias sociaux compromis, déploient des voleurs d'informations et des logiciels d'extraction de crypto-monnaie. 4. [vulnérabilité VMware ESXi exploitée] (https: //sip.security.microsoft.com/intel-explorer/articles/63b1cec8): des gangs de ransomware comme Storm-0506 et Octo Tempest Exploiter un VMware ESXi Authentification Typass VULnerabilité pour l'accès administratif.Cette vulnérabilité, ajoutée au catalogue exploité des vulnérabilités exploitées \\ 'connues, est utilisée pour voler des données, se déplacer latéralement et perturber les opérations. 5. [APT41 cible la recherche taïwanaise] (https://sip.security.microsoft.com/intel-explorer/articles/d791dc39): le groupe APT41, suivi comme Typhoon de brass.La campagne consiste à exploiter une vulnérabilité de Microsoft Office et à utiliser la stéganographie pour échapper à la détection. 6. [Trojans bancaire en Amérique latine] (https://sip.security.microsoft.com/intel-explorer/articles/767518e9): Une campagne ciblant les organisations financières utilise des troyens bancaires distribués via des URL géo-frisées.Le malware utilise l'injection de processus et se connecte aux serveurs de commandement et de contrôle pour voler des informations sensibles. 7. [MINT STACER MALWARED] ( | Threat Ransomware Spam Malware Tool Mobile Vulnerability | APT33 APT 41 APT 33 APT-C-17 | ★★★ |
|
2024-08-04 15:00:00 | LibreOffice Security Update Advisory (CVE-2024-5261) (lien direct) | Aperçu & # 160;LibreOffice a publié une mise à jour pour aborder une vulnérabilité dans leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.& # 160;Produits affectés CVE-2024-5261 Versions LibreOffice: ~ 24.2.4 (exclues) & # 160;& # 160;Vulnérabilités résolues & # 160;Vulnérabilité de validation de certificat incorrect due aux certificats TLS qui ne sont pas correctement validés lors de l'utilisation de libreOfficeKit [& # 8230;]
Overview LibreOffice has released an update to address a vulnerability in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-5261 LibreOffice versions: ~ 24.2.4 (excluded) Resolved Vulnerabilities Improper certificate validation vulnerability due to TLS certificates not being properly validated when using LibreOfficeKit […] |
Vulnerability | ★★ | |
|
2024-08-04 15:00:00 | (Déjà vu) OpenAM Security Update Advisory (CVE-2024-41667) (lien direct) | Aperçu & # 160;OpenAM a publié une mise à jour pour aborder une vulnérabilité dans leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.& # 160;Produits affectés CVE-2024-41667 Versions OpenAM: ~ 15.0.3 (inclusives) & # 160;& # 160;Vulnérabilités résolues & # 160;Vulnérabilité d'injection de modèle due à la saisie de l'utilisateur (CVE-2024-41667) & # 160;& # 160;Patchs de vulnérabilité Les patchs de vulnérabilité ont [& # 8230;]
Overview OpenAM has released an update to address a vulnerability in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-41667 OpenAM versions: ~ 15.0.3 (inclusive) Resolved Vulnerabilities Template injection vulnerability due to user input (CVE-2024-41667) Vulnerability Patches Vulnerability Patches have […] |
Vulnerability | ★★★ | |
|
2024-08-04 15:00:00 | (Déjà vu) RASPAP Security Update Advisory (CVE-2024-41637) (lien direct) | Aperçu & # 160;RASPAP a publié une mise à jour pour aborder une vulnérabilité dans leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.& # 160;Produits affectés & # 160;CVE-2024-41637 Versions RASPAP: ~ 3,1,5 (exclues) & # 160;& # 160;Vulnérabilités résolues & # 160;Une vulnérabilité qui permet à un utilisateur peu privilégié de modifier le fichier www-dataservice et d'utiliser [& # 8230;]
Overview RaspAP has released an update to address a vulnerability in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-41637 RaspAP versions: ~ 3.1.5 (excluded) Resolved Vulnerabilities A vulnerability that allows a low-privileged user to modify the www-dataservice file and use […] |
Vulnerability | ★★★ | |
|
2024-08-04 15:00:00 | GSTERMER Product Security Update Advisory (CVE-2024-40897) GStreamer Product Security Update Advisory (CVE-2024-40897) (lien direct) |
Aperçu & # 160;GStreamer a publié une mise à jour pour aborder une vulnérabilité dans leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.& # 160;& # 160;Produits affectés CVE-2024-40897 GSTERAMER ORC Versions: ~ 0.4.39 (exclues) & # 160;& # 160;Vulnérabilités résolues & # 160;Vulnérabilité de débordement de tampon dans Orc & # 8216; Orcparse.c & # 8217;Cela pourrait permettre une exécution de code arbitraire lorsque [& # 8230;]
Overview GStreamer has released an update to address a vulnerability in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-40897 GStreamer ORC versions: ~ 0.4.39 (excluded) Resolved Vulnerabilities Buffer overflow vulnerability in ORC ‘orcparse.c’ that could allow arbitrary code execution when […] |
Vulnerability | ★★★ | |
|
2024-08-04 15:00:00 | Adobe Security Update Advisory (CVE-2024-39392) (lien direct) | Aperçu & # 160;Adobe a publié des mises à jour pour corriger les vulnérabilités de leurs produits.Il est conseillé aux utilisateurs de versions affectées de mettre à jour la dernière version.& # 160;& # 160;Produits affectés CVE-2024-39392 Adobe InDesign (fenêtre, macOS) Versions: ~ id19.3 (inclusive) Adobe Indesign (fenêtre, macOS) Versions: ~ id18.5.2 (inclusives) & # 160;& # 160;Vulnérabilités résolues & # 160;Vulnérabilité de débordement de tampon basé sur un tas que [& # 8230;]
Overview Adobe has released updates to fix vulnerabilities in their products. Users of affected versions are advised to update to the latest version. Affected Products CVE-2024-39392 Adobe InDesign (Window, macOS) versions: ~ ID19.3 (inclusive) Adobe InDesign (Window, macOS) versions: ~ ID18.5.2 (inclusive) Resolved Vulnerabilities Heap-based buffer overflow vulnerability that […] |
Vulnerability | ★★★ | |
|
2024-08-03 11:17:28 | Noyau Linux impactné par une nouvelle attaque de cache croisé de slubstick Linux kernel impacted by new SLUBStick cross-cache attack (lien direct) |
Une nouvelle attaque de cache croisé du noyau Linux nommé Slubstick a un succès de 99% dans la conversion d'une vulnérabilité limitée de tas en une capacité de lecture et d'écriture de mémoire arbitraire, permettant aux chercheurs d'élever des privilèges ou d'échapper aux conteneurs.[...]
A novel Linux Kernel cross-cache attack named SLUBStick has a 99% success in converting a limited heap vulnerability into an arbitrary memory read-and-write capability, letting the researchers elevate privileges or escape containers. [...] |
Vulnerability | ★★★ | |
|
2024-08-02 20:39:07 | Black Basta ransomware switches to more evasive custom malware (lien direct) | ## Instantané Le Black Basta Ransomware Gang a été une menace mondiale importante, responsable de plus de 500 attaques réussies contre les entreprises du monde entier selon le site de fuite de données Black Basta.Le groupe utilise une stratégie à double extension, combinant le vol de données et le chiffrement et exige des paiements de rançon importants.Black Basta a été observé en utilisant des outils accessibles au public aux logiciels malveillants personnalisés développés en interne. ## Description Des recherches chez Mandiant Suspects Black Basta utilisent un modèle d'affiliation privé à invitation fermée pour distribuer des ransomwares de Basta, se différenciant des ransomwares traditionnels commercialisés en tant que service (RAAS).Mandiant nommé "UNC4393" comme principal utilisateur de [BASTA Ransomware] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baaa088f25cd80c3Ded8d726).UNC4393, également connu sous le nom de Cardinal Cybercrime Group, est suivi par Microsoft sous le nom de [Storm-1811.] (Https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0ebf1d00f67777718 Initialement, le Black Basta Gang s'est associé à la [Qakbot (également connu sous le nom de QBOT)] (https: // Security.microsoft.com/intel-profiles/65019CE99508DD6A7ED35BA221524B6728A564600616C7229BAA0ECDEC21701B) pour l'accès réseau Distribution de Botnet en botnetFections via des e-mails de phishing et de la contrebande de HTML, mais après [les forces de l'ordre ont perturbé Qakbot] (https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/), ils ont dû former de nouveaux partenariats pour violer les réseaux d'entreprise.Black Basta est passé à des grappes de distribution d'accès initiales comme celles qui livrent [Darkgate] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91Be78) MALAFACT.Quelques mois plus tard, le groupe est passé de Darkgate via le phishing au malvertising à l'aide de Silentnight, un malware de porte dérobée.Silentnight (alias Terdot et Deloader), passe également par [Zloader] (https://security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Zloader est remarquable pour sa capacité à s'adapter à différentes campagnes.Les logiciels malveillants de porte dérobée ont été observés dans les campagnes de phishing à des campagnes de malvertising plus récentes comme le Ransomware Black Basta. Des outils et tactiques supplémentaires de Basta noirs ont évolué pour inclure l'utilisation d'un compte-gouttes sur la mémoire personnalisé nommé DawnCry, qui a lancé une infection en plusieurs étapes, suivie de Daveshell, qui a conduit au Portyard Tunneler qui se connecte à la commande noire de Black \\et contrôle (C2).D'autres outils personnalisés remarquables utilisés dans les opérations récentes incluent COGSCAN, [SystemBC] (https://security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbd611dfe9db652c9adf97292b), knknotrock.En outre, le gang continue d'utiliser des binaires "vivant hors du terrain" et des outils facilement disponibles dans leurs dernières attaques, y compris l'utilitaire de ligne de commande Windows Certutil pour télécharger Silentnight et le [Rclone] (https://security.microsoft.com/Intel-Profiles / 3C39892A30F3909119605D9F7810D693E502099AE03ABBD80F34D6C70D42D165) Tool to Exfiltrate Data. Le groupe a été soupçonné d'être lié à [un récent exploit de vulnérabilité du zéro-jour] (https://security.microsoft.com/intel-explorer/articles/94661562), y compris l'élévation du privilège Windows, et Vmware Esxi Authentication Bypass Flaws ([[[[[[[ByPass Flaws VMware ESXi ESXI ([[[[[[[[Flaws de VMware ESXi Esxi Bypass Flaws ([CVE-2024-37085] (https://security.microsoft.com/intel-profiles/cve-2024-37085)).Leur objectif est l'extorsion aux multiples facettes, tirant parti de la menace de fuite de do | Threat Ransomware Malware Cloud Tool Vulnerability Legislation | ★★★ | |
|
2024-08-02 19:00:46 | StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms (lien direct) | ## Instantané
À la mi-2023, les chercheurs de volexité ont détecté plusieurs incidents où Stormbamboo, également connu sous le nom de panda évasif, a utilisé l'empoisonnement du DNS pour compromettre les systèmes au niveau du FAI.
## Description
Cette attaque a permis à Stormbamboo de manipuler les réponses DNS et de mécanismes de mise à jour des logiciels cibles pour cibler pour installer subrepticement des logiciels malveillants sur MacOS et Windows Systems.Les logiciels malveillants clés déployés comprenaient de nouvelles variantes du malware MACMA, montrant une convergence avec la famille de logiciels malveillants Gimmick.Les attaquants ont également utilisé une extension de navigateur malveillant, Reloadext, pour exfiltrer les données par e-mail des machines victimes.Une analyse a révélé que le vecteur d'infection était l'empoisonnement du DNS au niveau du FAI, redirigeant les demandes de mise à jour du logiciel aux serveurs contrôlés par attaquant.Cette méthode d'attaque a exploité les vulnérabilités dans les mécanismes de mise à jour qui ne validaient pas correctement les signatures numériques, similaires aux attaques précédentes attribuées à DriftingBamboo.Volexity a confirmé cette méthode dans un scénario du monde réel, mettant en évidence la nature sophistiquée et persistante des opérations de Stormbamboo \\.
## Détections / requêtes de chasse
** Microsoft Defender Antivirus **
Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants:
- * [Backdoor: macOS / macma] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:macos/macma) *
## Les références
[Stormbamboo compromet le FAI pour abuser des mécanismes de mise à jour des logiciels peu sûrs] (https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-at-abuse-insecure-software-upmechanisms/).Volexité (consulté en 2024-08-02)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot In mid-2023, researchers at Volexity detected multiple incidents where StormBamboo, also known as Evasive Panda, used DNS poisoning to compromise systems at the ISP level. ## Description This attack allowed StormBamboo to manipulate DNS responses and target insecure software update mechanisms to surreptitiously install malware on macOS and Windows systems. Key malware deployed included new variants of the MACMA malware, showing a convergence with the GIMMICK malware family. The attackers also utilized a malicious browser extension, RELOADEXT, to exfiltrate email data from victim machines. An analysis revealed that the infection vector was DNS poisoning at the ISP level, redirecting software update requests to attacker-controlled servers. This attack method exploited vulnerabilities in update mechanisms that did not properly validate digital signatures, similar to previous attacks attributed to DriftingBamboo. Volexity confirmed this method in a real-world scenario, highlighting the sophisticated and persistent nature of StormBamboo\'s operations. ## Detections/Hunting Queries **Microsoft Defender Antivirus** Microsoft Defender Antivirus detects the following threat components as malware: - *[Backdoor:MacOS/Macma](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:MacOS/Macma)* ## References [StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms](https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms/). Volexity (accessed 2024-08-02) ## Copyright **© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibit |
Threat Malware Vulnerability | ★★★★ | |
 |
2024-08-02 18:07:20 | GCP-2024-046 (lien direct) | Publié: 2024-08-05 Description Description Gravité notes AMD a informé Google d'environ 3 vulnérabilités de firmware (2 risques moyens, 1 à haut risque) affectant SEV-SNP dans les processeurs AMD EPYC 3rd Generation (Milan) et 4e génération (GenoA). > Google a appliqué des correctifs aux actifs affectés, y compris Google Cloud, pour s'assurer que les clients sont protégés.À l'heure actuelle, aucune preuve d'exploitation n'a été trouvée ou signalée à Google. Que dois-je faire? Aucune action client n'est requise.Des correctifs ont déjà été appliqués à la flotte Google Server. Pour plus d'informations, voir AMD Security Advisory amd-sn-3011 . moyen & # 8211; high CVE-2023-31355 CVE-2024-21978 CVE-2024-21980 Published: 2024-08-05Description Description Severity Notes AMD has notified Google about 3 new (2 medium risk, 1 high risk) firmware vulnerabilities affecting SEV-SNP in AMD EPYC 3rd generation (Milan) and 4th generation (Genoa) CPUs. Google has applied fixes to the affected assets, including Google Cloud, to ensure customers are protected. At this time, no evidence of exploitation has been found or reported to Google. What should I do? No customer action is required. Fixes have already been applied to the Google server fleet. For more information, see AMD security advisory AMD-SN-3011. Medium–High CVE-2023-31355 CVE-2024-21978 CVE-2024-21980 | Cloud Vulnerability | ||
|
2024-08-02 16:30:00 | Le gouvernement fédéral américain augmente-t-il le cyber-risque par la monoculture? Is the US Federal Government Increasing Cyber-Risk Through Monoculture? (lien direct) |
Dans une monoculture, les cybercriminels doivent rechercher une faiblesse dans un seul produit, ou découvrir une vulnérabilité exploitable, pour affecter une partie importante des services.
In a monoculture, cybercriminals need to look for a weakness in only one product, or discover an exploitable vulnerability, to affect a significant portion of services. |
Vulnerability | ★★★ | |
|
2024-08-02 16:22:00 | Mirai Botnet ciblant les serveurs Biz vulnérables à la traversée du répertoire Mirai Botnet targeting OFBiz Servers Vulnerable to Directory Traversal (lien direct) |
Le logiciel de planification des ressources d'entreprise (ERP) est au cœur de nombreux ressources humaines, comptabilité, expédition et fabrication entreprenantes.Ces systèmes peuvent devenir très complexes et difficiles à maintenir.Ils sont souvent hautement personnalisés, ce qui peut rendre les correctifs difficiles.Cependant, les vulnérabilités critiques continuent d'affecter ces systèmes et de mettre des données commerciales critiques en danger. & NBSP;
Le
Enterprise Resource Planning (ERP) Software is at the heart of many enterprising supporting human resources, accounting, shipping, and manufacturing. These systems can become very complex and difficult to maintain. They are often highly customized, which can make patching difficult. However, critical vulnerabilities keep affecting these systems and put critical business data at risk. The |
Patching Vulnerability | ★★ |
To see everything:
Our RSS (filtrered)
