I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca Semperis mette in evidenza una nuova vulnerabilità zero-day di Windows che può conferire privilegi di amministrazione ad attori malintenzionati, un attacco a un ospedale dell'Ohio e nuove prove che le vulnerabilità di ProxyShell possono portare a compromissioni a livello di dominio.
Una nuova vulnerabilità zero-day di Windows concede privilegi di amministratore
Un ricercatore di sicurezza ha scoperto una nuova falla zero-day di Windows per l'elevazione dei privilegi locali che concede privilegi di amministratore a Windows 10, Windows 11 e Windows Server. I malintenzionati con un accesso limitato a un dispositivo compromesso possono utilizzare questa vulnerabilità per elevare i privilegi e muoversi lateralmente nella rete di un'organizzazione.
L'ospedale dell'Ohio è l'ultimo operatore sanitario vittima di una serie di attacchi ransomware
Il Southern Ohio Medical Center è stato colpito da un attacco ransomware che ha interrotto l'assistenza ai pazienti e ne ha compromesso i dati, diventando l'ultimo di una serie di incidenti che hanno colpito i fornitori di servizi sanitari nelle ultime settimane. Il Johnson Memorial Health sta ancora lottando per riprendersi da un attacco attribuito al gruppo di ransomware Hive, che utilizza software di amministrazione remota per infiltrarsi nei sistemi e stabilire la persistenza, quindi utilizza strumenti come ADRecon per mappare l'ambiente Active Directory.
Si moltiplicano le prove che le vulnerabilità di ProxyShell possono portare ad attacchi a livello di dominio
Le vulnerabilità non patchate di Exchange Server ProxyShell rivelate nel luglio 2021 possono consentire l'escalation dei privilegi e l'esecuzione di codice in remoto. Secondo il rapporto DBIR, un cliente di Exchange Server senza patch ha subito un attacco ransomware che ha sfruttato le vulnerabilità senza patch e ha portato a una compromissione dell'intero dominio.
Altre risorse
