内存安全周报第100期 | CISA命令各机构修补正在用于攻击的新的Windows 0day漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、 CISA命令各机构修补正在用于攻击的新的Windows 0day漏洞(7.12)
CISA已将 Windows 客户端/服务器运行时子系统 (CSRSS) 中被主动利用的本地权限提升漏洞添加到其野外滥用的错误列表中。
详细情况
这个高危安全漏洞(跟踪为 CVE-2022-22047)会影响服务器和客户端 Windows平台,包括最新的 Windows 11 和 Windows Server 2022 版本。
微软已在2022年7月星期二补丁日中对其进行了修补,并归类为0day,因为它在修复程序发布前曾在攻击中被滥用。
微软在今天发布的安全公告中解释说:“攻击者如果成功利用此漏洞,可以获得系统权限。”
Redmond说,该漏洞是由微软威胁情报中心(MSTIC)和微软安全响应中心(MSRC)在内部发现的。
Bleeping Computer今天早些时候还联系了微软,询问在攻击中该漏洞是如何使用的。
联邦机构的修补时限为三周后
CISA 已给这些机构三周时间(直到 8 月 2 日)来修补被积极利用的 CVE-2022-22047 漏洞,并阻止针对其系统的持续攻击。
根据11月发布的约束运营指令(BOD 22-01),所有联邦民政行政机构(FCEB)机构必须保护其网络免受CISA已知利用漏洞(KEV)目录中新增安全漏洞的侵害。
尽管BOD 22-01指令仅适用于美国联邦机构,但CISA也强烈敦促美国所有组织修复此Windows CSRSS特权提升漏洞,以防止攻击者企图在未修补的Windows系统上升级特权。美国网络安全机构解释道:“这些类型的漏洞是恶意网络行为者的常见攻击媒介,对联邦企业有严重威胁。”
自BOD 22-01发布以来,CISA已在其攻击中利用的漏洞列表中添加了数百个安全漏洞,命令美国联邦机构尽快修补其系统以防止漏洞。
参考链接
二、通过 Azure VM 和 GitHub Actions进行加密挖掘攻击(7.15)
研究人员披露了针对Azure虚拟机(VMs)和GitHub Actions(GHAs)的基于云的加密货币挖掘攻击。
详细情况
加密攻击
趋势科技(Trend Micro) 的 研究人员提供了一份报告,详细介绍了这些攻击。
---超过一千个存储库和550个代码示例被发现滥用GitHub Actions来使用GitHub提供的运行器来挖掘加密货币。
---攻击者进一步使用托管在Azure上的Windows runners来挖掘加密货币。
---它应用持久性技术来隐藏GitHub并防止其操作被禁用。
---攻击者通常通过利用环境中的安全漏洞(例如弱凭据,未修补的漏洞或配置错误的云实施)进入云部署。
技术见解
攻击者滥用GitHub提供的runners,通过组织的管道和自动化来恶意下载和安装挖矿程序。
• Linux和Windows runners被托管在Azure上的Standard_DS2_v2 VM上,具有两个vCPU和7GB内存。
• 此外,研究人员分析了GitHub上发现的不同GHA YAML脚本,这些脚本试图挖掘各种加密货币。
加密攻击对组织的影响
研究人员表示,被矿工感染的基础设施的性能会降低。此外,它还会导致企业的在线服务中断,进而影响组织的声誉。
• 为了展示此类攻击如何影响组织,研究人员在其一个系统上部署了XMRig,该系统将CPU使用率从平均13%提高到100%。
• 因此,对于单个云实例,目标组织的电力成本从每月 20美元增加到 130美元(+600%)。
建议
组织应定期监控其 GitHub Actions是否存在任何滥用迹象。及早发现云环境中可能的漏洞利用对于在此类攻击造成任何重大损害之前阻止它们非常重要。此外,请确保GHA中没有加密货币钱包。
参考链接
https://cyware.com/news/crypto-mining-attacks-through-azure-vms-and-github-actions-f1dd44e5
