11 Dec 2020

Rapport från NSA angående en sårbarhet i VMware

NSA rapporterades i måndags att CVE-2020-40061 aktivt utnyttjas av grupper sponsrade av den ryska staten. Grupperna utnyttjar den till att få access till sårbara VMware-system och slutligen åtkomst till Windows Active Directory2 

Angreppen börjar med att utnyttja sårbarheten till att  access och sedan ladda upp ett web-shellMed hjälp av den kan de generera och skicka autentiseringsuppgifter till Active Directory Federation Services (AD FS). Det ger då access till skyddad information och möjligheten att utföra uppgifter som annars kräver högre rättigheter2. 

NSA rekommenderar att följa VMwares instruktioner i KB-817543 för att patcha sårbara system. De hänvisar även till en workaround enligt KB-817314 . 

 

Källor:

https://www.vmware.com/security/advisories/VMSA-2020-0027.html 

https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195076_20.PDF 

https://kb.vmware.com/s/article/81754 

https://kb.vmware.com/s/article/81731 



IT-Total Security Operations Center

Skriven av IT-Total Security Operations Center

IT-Total SOC övervakar det globala hotlandskapet och levererar hanterad hotdetektering 24/7/365. Vi skyddar organisationers affärskritiska tillgångar mot cyberattacker genom snabb respons, analyser och åtgärder. IT-Total SOC består av seniora analytiker som arbetar med omvärldsbevakning och manuella analyser. Vi använder även av ett flertal beprövade tekniska verktyg, både statiska och dynamiska.

Microsoft Patch Tuesday

Microsoft har i denna månad och årets första Patch Tuesday släppt nya uppdateringar varav 14 anses som kritiska, och en nyttjas aktivt.  Den aktiva…

Zyxel avslutar 2020 med patchar mot hårdkodade lösenord

Sårbarheter i Zyxels brandväggar samt Access Punkter påvisar ett tidigare användande av hårdkodat konto använt för att automatisera uppdateringar…

Omfattande kampanj har avslöjats efter en supply-chain attack

Säkerhetsföretaget FireEye avslöjar en omfattande kampanj efter de upptäckt en supply-chain attack i mjukvaran för SolarWinds Orion…

Prenumerera på Security Alert-bloggen: