🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
CategoriaInteligência de vulnerabilidadeClasse de vulnerabilidadeExecução remota de código (Vulnerabilidade RCE)TAMPA DA CAVERNACVE-2021-31206CVSS: 3.0 Pontuação7.6 Alto riscoAlvoWindows Server 2019/2016/2013Referência* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
# https://en.wikipedia.org/wiki/Traffic_Light_Protocol
Sumário executivo
- O CVE-2021-31206 é uma vulnerabilidade RCE não autenticada direcionada aos servidores MS Exchange que permite que os invasores comprometam instâncias voltadas para a Internet.
- A vulnerabilidade de dia zero está sendo ativamente explorada por agentes de ameaças para atingir usuários do Windows.
- Essa vulnerabilidade pode ser explorada para executar código arbitrário no sistema de destino. No entanto, exige que um usuário autenticado, em uma função específica do Exchange, seja comprometido.
Análise
Detalhes técnicos
- CVE-2021-31206 é uma falha na análise do formato de arquivo para arquivos Microsoft Windows ou CAB (Cabinet).
- Ao lidar com nomes de arquivo especificados em um arquivo CAB, o processo não valida adequadamente um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo.
- Um invasor pode aproveitar isso, em conjunto com outras vulnerabilidades, para executar código arbitrário no contexto do SYSTEM.
Plataformas afetadas
Versão Windows PlatformBuildServidor Windows 2013/CU23/2016 CU20/2016 CU21/2019 CU10Informações de fóruns de crimes cibernéticos
A equipe de pesquisa de inteligência de ameaças da CloudSEK observou que o código de exploração dessa vulnerabilidade está disponível com vários agentes de ameaças e está sendo explorado ativamente pelos seguintes grupos de ameaças:- Operadores de ransomware
- Ameaças persistentes avançadas
- Corretores de acesso
Impacto e mitigação
Impacto
- As vulnerabilidades do RCE permitem que os atacantes executem comandos e obtenham controle sobre os sistemas das vítimas.
- Os invasores podem usar o RCE em servidores Exchange vulneráveis para obter acesso inicial às redes internas.
- Os atacantes podem então se mover lateralmente pelas redes internas para promover o ataque, implantando ransomware ou exfiltrando informações críticas.
