Fireeye领带Microsoft Outlook利用伊朗黑客
伊朗黑客组织APT33和APT34一直利用Microsoft Outlook漏洞,即美国网络命令警告,根据安全公司Fireeee,但警告单独修补还不够。
在Twitter上发布了US Cyber命令警报关于CVE-2017-11774,Outlook中的漏洞是,如果已被剥削可能允许攻击者绕过安全功能并在运行Windows上执行针对性计算机上的任意命令。
Fireeye表示,它的研究人员在过去一年中观察到了使用漏洞利用的多个伊朗黑客的证据。
FireeEye将US Cyber Com的CVE-2017-11774的指示器归因于APT33的警告,威胁组链接到已用于攻击的ShamoonWiper恶意软件,该攻击旨在讨论能源部门的运营。
“所使用的技术与2018年12月的公共”推翻“博客的APT33的行为一致 - 以及APT33目前在Junevoluping的近期活动中的当前,”Fireeye说。
根据安全公司的说法,CVE-2017-11774的反对剥削继续导致许多安全专业人士的混淆。如果Outlook推出了恶意的东西,Fireeye表示,一个共同的假设是受影响的用户已被淘汰,但这不是发生的事情。
结果,该组织可能会浪费宝贵的时间而不关注根本原因。在能够利用此向量之前,Fireeye指出了对手需要有效的用户凭据。对于APT33,通常通过密码喷涂获得这些。
虽然CVE-2017-11774于2017年10月被修补,但由于组织为CVE-2017-11774的CVE-2017-11774缺乏适当的多因素电子邮件访问控制和修补邮件应用,Fireeye表示,APT33和APT34使用此技术已成功使用了至少一年。
根据独立的安全顾问Graham Cluley的说法,补丁删除了易受攻击的遗产的“主页”功能。
“Outlook的'主页'功能很少使用,大多数组织可能不知道它的存在,这意味着通过应用补丁并仅受益于安全的增加,他们不太可能受益,”他在一个博客帖子中说道。
黑客组织仍然能够在修补后一年以上的漏洞漏洞的事实表明许多组织没有修补其关键业务软件,这表明考虑Microsoft Outlook的安装基础的威胁的大小。
Cluley还指出,单独修补还不够,并建议确保分层防御到位,所遵循密码最佳实践,并启用多因素身份验证。
美国国土安全部的网络安全和基础设施安全局(CISA)向美国政府机构和企业的“政权行动者和代理人”增加了伊朗网络攻击最近增加了两周后,美国网络命令警报不到两周。
“伊朗政权演员和代理越来越多地利用破坏性的”刮水器“的攻击,寻求不仅仅是窃取数据和金钱。这些努力通常通过矛盾,密码喷涂和凭证填充等常见的策略启用,“Cisa总监Christopher Krebs在Astatement说。
“什么可能以账户妥协启动,您认为您可能只是丢失数据,可以迅速成为您丢失整个网络的情况。”