Microsofts patch-tisdag i september 2024 åtgärdar 79 sårbarheter, inklusive fyra Zero-Day exploateringar

 Microsofts Patch Tuesday för september 2024 åtgärdade 79 säkerhetsbrister, inklusive fyra zero-days. Tre av dessa zero-days utnyttjas aktivt och en har offentliggjorts. Anmärkningsvärda sårbarheter inkluderar:

• CVE-2024-38014: En privilegieeskalerings-sårbarhet i Windows Installer, vilket möjliggör attacker på SYSTEM-nivå.
• CVE-2024-38217: En Mark of the Web Security Feature Bypass, utnyttjad sedan 2018 genom en teknik som kallas LNK stomping.
• CVE-2024-38226: Ett Publisher-fel som kringgår makroskydd.

 Dessutom markerades CVE-2024-43491 som utnyttjad, vilken påverkade Windows 10-system och återinförde sårbarheter i flera komponenter som Active Directory och IIS.

Sju kritiska sårbarheter åtgärdades, främst avseende fjärrkörning av kod och privilegieeskalering. För en fullständig lista över uppdateringar och berörda system, se Microsofts advisory för detaljerad information.

Lazarus-hackare utger sig för att vara rekryterare för att utsätta Python-utvecklare för malware i falska kodningstester

Medlemmar i den nordkoreanska hackergruppen Lazarus utger sig för att vara rekryterare för att rikta in sig på Python-utvecklare med kodningstestprojekt för lösenordshanteringsprogram som innehåller skadlig kod. Denna aktivitet är en del av ”VMConnect-kampanjen”, som först upptäcktes i augusti 2023, där hotaktörer laddade upp skadliga Python-paket till PyPI-förvaret.

 Enligt ReversingLabs, som har övervakat kampanjen i över ett år, använder hackarna GitHub för att vara värd för dessa projekt och tillhandahåller README-filer med professionellt utseende för att förbättra kampanjens legitimitet. Gruppen utger sig ofta för att vara stora amerikanska banker, till exempel Capital One, för att locka utvecklare med attraktiva jobberbjudanden.

 Ytterligare utredning visade att Lazarus aktivt kontaktar mål via LinkedIn, en känd taktik som används av gruppen. Detta tillvägagångssätt, i kombination med de falska kodningstesterna, skapar en känsla av brådska och professionalism, vilket gör det svårare för offren att identifiera hotet.

EU sanktionerar sex ryska hackare för cyberattacker mot hälso- och sjukvård samt banktjänster

EU har beslutat om sanktioner mot sex personer som varit inblandade i cyberattacker mot kritisk infrastruktur och viktiga tjänster, t.ex. hälso- och sjukvård och bankverksamhet. Detta är första gången som sanktioner specifikt har riktats mot angrepp mot dessa sektorer. I Europeiska rådets uttalande betonades EU:s åtagande att stärka sina insatser mot skadlig cyberverksamhet.

För närvarande är 14 personer och fyra enheter föremål för sanktioner för cyberbrott mot EU. Sanktionerna omfattar frysning av tillgångar och reseförbud, vilket hindrar dem från att ta emot medel från EU:s institutioner.

Europeiska unionens cybersäkerhetsbyrå (ENISA) lyfte fram offentlig förvaltning, hälso- och sjukvård samt digital infrastruktur som viktiga mål för cyberbrottslingar i sin hotbedömning för 2023. Bland de som straffas finns ledare för ryska hackergrupper, däribland Oleksandr Skilanko och Mykola Chernykh, som anklagas för cyberattacker mot Ukraina och EU-länder via gruppen ”Armageddon”. EU fördömde Rysslands pågående oansvariga cyberbeteende, som utgör en del av landets mer omfattande konflikt med Ukraina.

Den brittiska regeringen utser datacenter till kritisk nationell infrastruktur för att förbättra cybersäkerheten och motståndskraften

Den brittiska regeringen har utsett datacentersektorn till en del av sin kritiska nationella infrastruktur (CNI), vilket placerar den på samma nivå som viktiga tjänster som energi och vatten. Detta möjliggör statligt stöd vid kritiska incidenter, vilket minimerar den ekonomiska påverkan.

Ett särskilt CNI-team för datainfrastruktur kommer att inrättas för att övervaka hot och ge prioriterad tillgång till säkerhetsorgan, såsom National Cyber Security Centre, och samordna räddningstjänster vid behov. Detta innebär att regeringen kommer att ingripa för att säkerställa kontinuiteten i viktiga tjänster, t.ex. vid en cyberattack mot datacenter med känslig NHS-data.

Teknikminister Peter Kyle betonade vikten av detta beslut för att förbättra samarbetet mellan regeringen och sektorn mot cyberhot.

TfL bekräftar ingen påverkan på kunddata eller tjänster efter cybersäkerhetsincident, vissa system påverkade

Transport for London (TfL) har bekräftat att den cybersäkerhetsincident som rapporterades förra veckan inte har påverkat kunddata eller kollektivtrafiken. I ett uttalande säger TfL att man aktivt arbetar med frågan och har vidtagit omedelbara åtgärder för att förhindra ytterligare systemåtkomst.

Transportnätverket är fortfarande i full drift, men vissa tjänster påverkas, bland annat

• Avstängda ansökningar för Oyster fotokort, inklusive Zip-kort
• Otillgänglig resehistorik online för kontaktlösa användare
• Oförmåga att utfärda återbetalningar för kontaktlösa resor, och Oyster-kunder måste använda självbetjäning online

Personalen har också begränsad systemåtkomst, vilket kan försena svar på förfrågningar och inlämningar av webbformulär

Om du är orolig för några av de hot som nämns i detta meddelande eller behöver hjälp med att avgöra vilka steg du bör ta för att skydda dig mot de mest betydande hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt kontakta oss för att ta reda på hur du kan skydda din organisation.

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.