Zranitelnost v nástroji v Microsoft Office umožňuje spustit libovolný kód
Uvedená zranitelnost se projevuje, když je nástroj MSDT volán s použitím protokolu URL volající aplikace, jako
je Word, čehož může útočník zneužít a následně může spustit libovolný kód s oprávněními volající aplikace,
instalovat programy, vidět, měnit či mazat data nebo vytvářet nové uživatelské účty v kontextu povoleném
oprávněními uživatele. Zranitelnost je považována za závažnou, protože je její zneužití jednoduché a již existují
dostupné nástroje na její zneužití a to bez (nebo s minimální) interakce uživatele. Zranitelné jsou všechny
podporované verze Microsoft Windows. Exploitace probíhá následovně: Útočník vytvoří dokument Microsoft
Office. V současnosti se většinou používá Word, ale Excel, PowerPoint a další dokumenty jsou také zneužitelné.
Oběť obdrží e-mail s dokumentem nebo odkazem na webovou stránku, na které se nachází dokument. Oběť
otevře dokument (může stačit náhled). Dokument používá funkci vzdálené šablony aplikace Word k načtení
souboru HTML ze vzdáleného webového serveru, který zase používá schéma URI ms-msdt MSProtocol k
načtení kódu a spuštění prostředí PowerShell.
Návrh řešení týmu viz ThreatGuard-ID: 2175
Kritická RCE zraniteľnosť v Atlassian Confluence
Vzhľadom k aktívnej exploitácií zraniteľnosti a neexistencií opravy vendor nezverejnil podrobné informácie.
Atlassian predpokladá, že zraniteľnosť sa nachádza vo všetkých podporovaných verziách Confluence Server a
Confluence Data Center. Vzdialený neautentizovaný útočník je pomocou nej schopný spustiť škodlivý kód na
zariadení a tým ho kompromitovať. Podľa získaných informácií útočníci zraniteľnosť používajú pre nasadenie
Behinder web shell, ktorý umožňuje naviazať meterpreter spojenie so zasiahnutým zariadením. Tento shell nie
je perzistentný a reboot alebo reštart služby ho ukončí. Zároveň je v spojení so zraniteľnosťou používaný
malware China Chopper a spustenie vlastných shell skriptov.
Návrh řešení týmu viz ThreatGuard-ID: 2180
Zranitelnosti v produktech Cisco Secure Email a Web Manager z 15. 6. 2022
Byly detekovány dvě zranitelnosti v produktech Cisco Secure Email a Cisco Web Manager, které útočníkovi
umožňují získat ctitlivé informace či obejít autentizaci a přihlásit se do webového rozhraní pro správu na
napadeném zařízení. Jedná se o následující zranitelnosti:
CVE-2022-20664: Tato zranitelnost existuje kvůli nedostatečné sanaci vstupů během dotazování se
externího autentizačního serveru, čehož může útočník zneužít odesláním vytvořeného dotazu prostřednictvím
externí webové stránky pro ověřování, což mu umožní získat přístup k citlivým informacím, včetně
uživatelských přihlašovacích údajů z externího autentifikačního serveru. Pro úspěšné zneužití této zranitelnosti
potřebuje útočník mít validní přihlašovací údaje na úrovni operátora (nebo vyšší).
CVE-2022-20798: Uvedená zranitelnost se projevuje z důvodu nesprávné kontroly autentizace, pokud
napadené zařízení používá protokol LDAP (Lightweight Directory Access Protocol) pro externí autentizaci, což
může útočník zneužít tak, že zadá na přihlašovací stránce napadeného zařízení specifický vstup, což mu
následně umožní získat neautorizovaný přístup do webového rozhraní pro správu na napadeném zařízení.
Návrh řešení týmu viz ThreatGuard-ID: 2193
