Seznam důležitých kybernetických hrozeb a událostí za období 15. – 21. 6. 2022.
Název: NTLM útok umožňuje převzetí kontroly nad AD doménou
Technologie: DFS
Důležitost: Střední
CVE: –
Popis: Nový útok DFSCoerce zneužívá NTLM Relay útok na Distributed File System k převzetí kontroly nad doménou. MS-DFSNM (distributed file system namespace management protocol) zajišťuje RPC rozhraní pro administraci a konfiguraci DFS. Útok umožňuje napadnout challenge-response mechanismus protokolu. V současné době není k dispozici aktualizace nebo doporučení od MS (s výjimkou doporučení na obdobný útok PetitPotam, který zneužíval certifikační služby).
Doporučení: Posoudit využití MS-DFSNM protokolu v infrastruktuře; sledovat další vývoj a případné aktualizace
Zdroje: https://thehackernews.com/2022/06/new-ntlm-relay-attack-lets-attackers.html
Název: Zneužití verzování souborů při ransomware útoku na Office365
Technologie: SharePoint, OneDrive
Důležitost: Střední
CVE: –
Popis: Proofpoint přišel se scénářem ransomware útoku na data uložená ve službách SharePoint / OneDrive. V případě běžného napadení ransomware je možné data obnovit z předchozích verzí uložených v cloudové službě. Počet ukládaných verzí je standardně nastavený na několik desítek, ale je možné ho s uživatelským oprávněním změnit. Útočníkovi tedy stačí po získání přístupu k uživatelskému účtu změnit nastavení verzování (snížit na minimum) a následně provést potřebný počet šifrování souborů.
Útok musí začít získáním přístupu k uživatelskému účtu (phishing apod.).
Doporučení: Prověření zálohování dat na cloudových službách; nezávislé zálohování dat mimo cloud; vyžadování bezpečných hesel; MFA;