Microsoft åtgärdar 63 säkerhetsbrister, inklusive aktivt utnyttjade sårbarheter
I månadens patch Wednesday åtgärdade Microsoft 63 säkerhetsproblem i sin programvara, inklusive tre som utnyttjas aktivt. Bristerna varierar i allvarlighetsgrad, där tre bedöms som kritiska, 56 som viktiga och fyra som måttliga. Noterbart är att två sårbarheter redan var offentliga vid tidpunkten för uppdateringen.
Bland de kritiska sårbarheterna finns fem zero-days, inklusive en Windows SmartScreen Security Feature Bypass (CVE-2023-36025) och två Windows elevation of privilege vulnerabilities (CVE-2023-36033 och CVE-2023-36036), som kan göra det möjligt för angripare att få SYSTEM-behörighet.
CVE-2023-36025 är den tredje zero-day i Windows SmartScreen som utnyttjats under 2023. Microsoft har inte detaljerat vilka attackmetoder eller hotaktörer som är inblandade, men noterar att dessa brister kan användas tillsammans med buggar för fjärrkörning av kod.
U.S. Cyber security and Infrastructure Security Agency (CISA) har uppmanat federala myndigheter att tillämpa dessa korrigeringar senast den 5 december 2023, på grund av hur allvarliga dessa problem är. Dessutom patchade Microsoft kritiska brister i fjärrkörning av kod i Protected Extensible Authentication Protocol och Pragmatic General Multicast samt ett heap-baserat buffertöverflöde i curl-biblioteket.
En sårbarhet i Azure CLI som kunde leda till att lösenord och användarnamn i klartext avslöjades åtgärdades också. Microsoft har sedan dess härdat Azure CLI mot potentiell exponering av hemligheter.
Lockbit ransomware utnyttjar sårbarhet i Citrix Bleed i globala attacker
Lockbit ransomwareattacker utnyttjar sårbarheten (CVE-2023-4966) i Citrix Bleed för att infiltrera stora organisationer vilket leder till datastöld och filkryptering. Trots att Citrix släppte korrigeringar för över en månad sedan är tusentals klienter, särskilt i USA, fortfarande sårbara. Högprofilerade mål som Industrial and Commercial Bank of China (ICBC), DP World, Allen & Overy och Boeing har angripits, med Citrix Bleed-felet som en gemensam faktor.
Dessa attacker tros vara utförda av en aktör med LockBit-anknytningar, som utnyttjar denna sårbarhet för nätverksintrång. LockBit, som är en stora på Ransomware-as-a-Service, ger sina affilierade stor frihet när det gäller deras angreppsmetoder. Detta mönster liknar tidigare beteenden som setts i GandCrab- och REvil-operationer, där affilierade specialiserat sig på specifika branscher eller åtkomstmetoder.
ver 10 400 Citrix-servrar världen över är fortfarande sårbara för CVE-2023-4966, vilket utgör en betydande risk. USA ligger i topp när det gäller antalet sårbara servrar, följt av Tyskland, Kina och Storbritannien. Dessa opatchade servrar, som finns i kritiska organisationer, skapar en enorm attackyta.
Citrix Bleed, som avslöjades den 10 oktober, är ett kritiskt säkerhetsproblem som påverkar Citrix NetScaler ADC och Gateway och ger åtkomst till känslig information. Mandiant rapporterade att hackare började utnyttja denna brist i slutet av augusti. Citrix har uppmanat administratörer att säkra sina system mot dessa lågkomplexa, interaktionsfria attacker. AssetNote har publicerat ett proof-of-concept-utnyttjande som visar hur sessionstoken kan stjälas.
Cyberattacken mot DP World ett resultat av att en välkänd sårbarhet inte åtgärdats
DP World Plc, en ledande global hamnoperatör, brottas med en betydande eftersläpning på 30 000 fraktcontainrar i australiensiska hamnar efter en cyberattack. Hackningen, som inträffade i fredags, ledde till en nedstängning av verksamheten i Melbourne, Sydney, Brisbane och Fremantle. Delar av verksamheten återupptogs denna vecka, men pågående utredningar och åtgärder för att skydda nätverket förväntas orsaka ytterligare störningar.
Företaget, som hanterar 40% av Australiens sjöhandel, flyttade endast 5 000 containrar på måndagen, en bråkdel av den vanliga dagliga volymen. Detta bakslag förvärras av kommande lokala strejker, vilket kan fördröja en återgång till normal drift till nästa vecka.
DP World medgav att data stulits i samband med den cyberattack som ledde till att hamnar i hela landet stängdes förra veckan. Experter menar att intrånget sannolikt berodde på att företaget inte hade uppdaterat den välkända Citrix-säkerhetsbristen som utnyttjades av ransomwaregänget LockBit.
NCSC varnar för ihållande och betydliga hot mot Storbritanniens nationella infrastruktur
I sin senaste årsrapport betonar National Cyber Security Centre (NCSC) att Storbritannien omgående måste stärka sitt cyberförsvar, särskilt inom viktiga sektorer som vatten, el, kommunikation, transport, finansiella nätverk och internettjänster.
Detta ökade risklandskap drivs av framväxten av statsanslutna cybergrupper, en ökning av aggressiva cyberaktiviteter och pågående geopolitiska spänningar. Under det senaste året har vi sett framväxten av statsanslutna cyberaktörer, ofta med sympatier för Rysslands agerande i Ukraina, som utgör ideologiskt drivna hot. Ett anmärkningsvärt exempel är den skadliga programvaran "Snake", som kopplas till ryskt spionage och den federala säkerhetstjänsten FSB, vilket avslöjades av NCSC.
Med nästa allmänna val på horisonten som ska äga rum i januari 2025, förväntar sig NCSC utmaningar från framsteg inom artificiell intelligens, inklusive användning av sofistikerade språkmodeller för att skapa falskt innehåll, utplacering av hyperrealistiska robotar för att sprida desinformation och utvecklingen av deepfake-kampanjer.
Rapporten tar också upp hoten från Kina och Ryssland. Kinas statsanknutna cyberaktörer riktar in sig på brittiska intressen med avancerad taktik, medan Ryssland fortfarande är en formidabel global cybermotståndare. NCSC har noterat Rysslands opportunistiska cyberaktiviteter i Ukraina och den framväxande hotmodellen för ransomware, som i hög grad påverkar Storbritannien.
Iran, som trots att de är mindre avancerade än Ryssland och Kina, fortsätter att ägna sig åt cyberintrång för stöld och sabotage. NCSC har utfärdat varningar om Irananknutna cyberaktiviteter som riktar in sig på sårbarheter inom olika sektorer, inklusive kritisk nationell infrastruktur.
