Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca uma nova vulnerabilidade de dia zero do Windows que pode dar privilégios de administrador a pessoas mal-intencionadas, um ataque a um hospital do Ohio e novas provas de que as vulnerabilidades do ProxyShell podem levar a comprometimentos em todo o domínio.
Nova vulnerabilidade de dia zero do Windows concede privilégios de administrador
Um investigador de segurança descobriu uma nova falha de dia zero de elevação de privilégios locais no Windows que concede privilégios de administrador ao Windows 10, Windows 11 e Windows Server. Agentes maliciosos com acesso limitado a um dispositivo comprometido podem usar esta vulnerabilidade para elevar privilégios e mover-se lateralmente através da rede de uma organização.
O hospital do Ohio é a mais recente vítima de uma série de ataques de “ransomware”
O Southern Ohio Medical Center foi atingido por um ataque de ransomware que interrompeu os cuidados de saúde e comprometeu os dados dos doentes, tornando-se o mais recente de uma série de incidentes que visaram os prestadores de cuidados de saúde nas últimas semanas. O Johnson Memorial Health ainda está a lutar para recuperar de um ataque atribuído ao grupo de ransomware Hive, que utiliza software de administração remota para se infiltrar nos sistemas e estabelecer a persistência, utilizando depois ferramentas como o ADRecon para mapear o ambiente do Active Directory.
Há cada vez mais provas de que as vulnerabilidades do ProxyShell podem conduzir a ataques em todo o domínio
As vulnerabilidades do Exchange Server ProxyShell não corrigidas, reveladas em Julho de 2021, podem permitir o aumento de privilégios e a execução remota de código. De acordo com o relatório DBIR, um cliente do Exchange Server não corrigido sofreu um ataque de ransomware que explorou as vulnerabilidades não corrigidas e levou a um comprometimento de todo o domínio.
Mais recursos
- Como se defender contra ataques Golden Ticket no Active Directory | Semperis
- Porque é que 86% das organizações estão a aumentar o seu investimento na segurança do Active Directory | Semperis
- Compreender os riscos das definições de compatibilidade anteriores ao Windows 2000 no Windows 2022 | Semperis
