Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca una nueva vulnerabilidad de día cero de Windows que puede otorgar privilegios de administrador a actores malintencionados, un ataque a un hospital de Ohio y nuevas pruebas de que las vulnerabilidades de ProxyShell pueden llevar a compromisos en todo el dominio.
Una nueva vulnerabilidad de día cero de Windows concede privilegios de administrador
Un investigador de seguridad descubrió una nueva falla de elevación de privilegios local de día cero de Windows que otorga privilegios de administrador a Windows 10, Windows 11 y Windows Server. Los actores maliciosos con acceso limitado a un dispositivo comprometido pueden utilizar esta vulnerabilidad para elevar privilegios y moverse lateralmente a través de la red de una organización.
Un hospital de Ohio es el último proveedor sanitario víctima de una serie de ataques de ransomware
El Southern Ohio Medical Center sufrió un ataque de ransomware que interrumpió la atención a los pacientes y puso en peligro sus datos, convirtiéndose en el último de una serie de incidentes dirigidos a proveedores de atención sanitaria en las últimas semanas. Johnson Memorial Health sigue luchando por recuperarse de un ataque atribuido al grupo de ransomware Hive, que utiliza software de administración remota para infiltrarse en los sistemas y establecer su persistencia, y luego despliega herramientas como ADRecon para mapear el entorno de Active Directory.
Cada vez hay más pruebas de que las vulnerabilidades de ProxyShell pueden provocar ataques a nivel de dominio
Las vulnerabilidades ProxyShell de Exchange Server sin parchear reveladas en julio de 2021 pueden permitir la elevación de privilegios y la ejecución remota de código. Según el informe DBIR, un cliente de Exchange Server sin parches sufrió un ataque de ransomware que explotó las vulnerabilidades sin parches y llevó a un compromiso en todo el dominio.