Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
Diesen Monat berichtet das Semperis Research Team über eine neue Windows Zero-Day-Schwachstelle, die böswilligen Akteuren Administratorrechte verleihen kann, einen Angriff auf ein Krankenhaus in Ohio und neue Beweise dafür, dass ProxyShell-Schwachstellen zu domänenweiten Angriffen führen können.
Neue Windows-Zero-Day-Sicherheitslücke gewährt Admin-Rechte
Ein Sicherheitsforscher hat eine neue Windows-Zero-Day-Schwachstelle zur Erhöhung der lokalen Rechte entdeckt, die Windows 10, Windows 11 und Windows Server Admin-Rechte verleiht. Böswillige Akteure, die nur begrenzten Zugriff auf ein kompromittiertes Gerät haben, können diese Schwachstelle nutzen, um ihre Privilegien zu erhöhen und sich seitlich durch das Netzwerk eines Unternehmens zu bewegen.
Krankenhaus in Ohio ist jüngstes Opfer einer Reihe von Ransomware-Angriffen
Das Southern Ohio Medical Center wurde von einem Ransomware-Angriff getroffen, der die Patientenversorgung unterbrochen und die Patientendaten kompromittiert hat. Dies ist der jüngste in einer Reihe von Vorfällen, die in den letzten Wochen auf Gesundheitsdienstleister abzielten. Johnson Memorial Health kämpft immer noch damit, sich von einem Angriff zu erholen, der der Ransomware-Gruppe Hive zugeschrieben wird. Diese verwendet Remote-Administrations-Software, um Systeme zu infiltrieren und zu erhalten, und setzt dann Tools wie ADRecon ein, um die Active Directory-Umgebung abzubilden.
Die Beweise häufen sich, dass ProxyShell-Schwachstellen zu domänenweiten Angriffen führen können
Ungepatchte Exchange Server ProxyShell-Schwachstellen, die im Juli 2021 aufgedeckt wurden, können die Ausweitung von Berechtigungen und die Ausführung von Remotecode ermöglichen. Dem DBIR-Bericht zufolge wurde ein ungepatchter Exchange Server-Kunde Opfer eines Ransomware-Angriffs, der die ungepatchten Sicherheitslücken ausnutzte und zu einer domänenweiten Kompromittierung führte.