微软称 SysAid IT 支持软件 0day 遭利用

最新推荐文章于 2024-11-09 23:28:38 发布
最新推荐文章于 2024-11-09 23:28:38 发布
阅读量136 收藏
点赞数
文章标签: microsoft 安全 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518109&idx=1&sn=ea1969d5f6961265242e634ad3228096&chksm=ea94b6f7dde33fe132cc88251eab7c283bd586cce97c1f70e82ba7debd24fd3003e6b9f2f7a9&scene=126&sessionid=0
版权

52d38d5aa5093028683751c2adbc5fcb.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

微软称威胁组织 Lace Tempest 利用SysAid IT 支持软件中的一个0day 发动数量有限的攻击活动。

25d47338f14ce198366cc4e9b9324da4.png

Lace Tempest 因分发 CI0p勒索软件而为人所知,此前曾利用 MOVEit 和 PaperCut 服务器中的 0day。这次该组织利用的 0day 是路径遍历漏洞CVE-2023-47246,可导致在本地版本实现代码执行后果。SysAid 已在 23.3.36 版本中修复该漏洞。

微软指出,“利用该漏洞后,Lace Tempest 通过 SysAid 软件发布命令,为Gracewire 恶意软件传播恶意软件加载器。后续一般是手动活动,包括横向移动、数据盗取和勒索软件部署。”

SysAid 提到,威胁组织将包含一个 web shell 和其它 payload 的 WAR 文档上传到 SysAid Tomcat web 服务的 webroot 中。该 web shell 除了向受陷主机提供后门访问权限外,还被用于传播旨在执行用于加载 Gracewire 的加载器的 PowerShell 脚本。攻击者还部署了第二个 PowerShell 脚本,用于擦除部署恶意 payload 的证据。

另外,该攻击链还使用 MeshCentral Agent 和 PowerShell 来下载和运行合法的利用后框架 Cobalt Strike。

强烈建议使用 SysAid 的组织机构尽快应用补丁以阻击潜在的勒索攻击并在打补丁前扫描环境中的利用迹象。

前不久,FBI 提醒称,勒索软件攻击者正在攻击第三方厂商和合法系统攻击来攻陷企业。FBI 提到,“截止到2023年6月,Silent Ransom Group(也被称为 Luna Moth)实施了回调钓鱼数据盗取和勒索攻击,他们在钓鱼尝试中为受害者发送电话号码,这种钓鱼活动一般和受害者的账号费用相关。”如受害者上钩并呼叫所提供的电话号码,则恶意人员则会诱骗他们通过之后邮件提供的链接安装合法的系统管理工具。之后攻击者利用该管理工具安装其它遭修改的合法软件,攻陷本地文件和网络共享设备、提取受害者数据并勒索企业。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

ZDI称微软 Exchange 出现4个新0day,可导致RCE和数据被盗

补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞

微软7月补丁星期二修复132个漏洞:5个已遭利用0day且1个无补丁

微软将花近一年的时间才能修复这个 Secure Boot 0day漏洞

微软补丁星期二修复6个已遭利用的0day和ProxyNotShell 0day

原文链接

https://thehackernews.com/2023/11/zero-day-alert-lace-tempest-exploits.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

d503b0eee9055d601b95d743c4f85423.jpeg

7fcb97d7a006fcc2bc55e123adac1be6.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   7d8da2fe23fd1e75631a448295ac0e2e.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
SysAid userentry 文件上传漏洞复现(CVE-2023-47246
0xSec
12-17 1065
SysAid在userentry存在文件上传漏洞,攻击者可以利用文件上传漏洞执行恶意代码、写入后门、读取敏感文件,从而可能导致服务器受到攻击并被控制。
漏洞复现--SysAid On-premise远程代码执行(CVE-2023-47246)
qq_53003652的博客
12-18 1112
SysAid On-premise 提供了诸如故障报告、资产管理、服务台支持、自动化流程等功能,以帮助 IT 团队更高效地工作。这种部署模式可以满足那些对数据安全性有更高要求的组织,同时也提供了更多的自定义和控制能力,以适应特定的业务需求和流程。该产品存在远程代码执行。
网络安全日报 2023年11月13日
Galaxy_0的博客
11-13 271
SysAid是一款IT服务管理(ITSM)解决方案,为组织内管理各种IT服务提供了一套工具。研究人员发现,攻击者正在利用服务管理软件SysAid中的零日漏洞来访问企业服务器,进行数据窃取并部署Clop勒索软件。该漏洞于11月2日被发现,被标记为CVE-2023-47246,黑客利用该漏洞入侵SysAid服务器。研究人员确定该漏洞正在被Lace Tempest(又Fin11和TA505)组织利用,用于部署Clop勒索软件。
客户案例: SysAid 对 Baklib 强大平台的评价
rankbc的博客
09-04 365
SysAid使用Baklib建立自助知识库网站,提升客户自助能力,减少支持请求。Baklib提供直观编辑器、丰富分析功能等,满足SysAid业务需求,提升生产力。SysAid对Baklib功能满意,认为其现代、灵活且直观。
sysaid的安装
zhaofei_001的专栏
12-14 1812
sysaid是大名鼎鼎的helpdesk,ITIL管理工具,免费版可以使用最多2个管理员,100个用户,100个资产。一般来说对于小型的公司部门,可以满足需求。 最新版8.1的是有中文版的,在安装的时候可以选择。选择下载windows版的,XP或者2003都可以安装使用。 安装完之后会有个简单的设置过程。 安装结束后,在开始菜单中运行登录即可。 设置方面,主要是在偏好设置,Helpdesk
漏洞分析 | 漏洞调试的捷径:精简代码加速分析与利用
m0_46699477的博客
11-16 316
本文为了便于调试能够快速复现该漏洞(CVE-2023-47246),尝试通过只使用部分的单元代码来模拟漏洞的主要逻辑流程进行动态调试分析。最终,成功利用 Goby 工具完美地实现了该漏洞的利用
SysAid 9.0 发布,增加移动设备管理功能
weixin_30363981的博客
11-09 80
SysAid 9.0 提供新的移动设备管理功能,可让管理员控制所有的移动设备,并集成进了资产管理;提供了新的知识库 UI 设计和双屏远程控制。此外 SysAid 的 ITIL 得到了PinkVERIFY™v3.1认证。 SysAid 是一款用于IT(技术信息)组织部门的软件.该软件提供了管理助手,自动地扫描组织的网络并且列出其拥有的计算机. SysAid 按照每台计算机提供详细的资料(它的硬件...
2018最难招聘的11类IT人员
weixin_33940102的博客
03-06 103
2019独角兽企业重金招聘Python工程师标准>>> ...
企业IT部门主管告诉你,DevOps给我们带来了这些变化
weixin_34095889的博客
12-13 73
DevOps给我们带来的变化主要包括:人们越来越能够接受 DevOps 了、公有云的优势越发明显同时基础设施也逐渐完善。DevOps将项目开发、测试、部署和迭代式发布集成在一起,形成一套统一的协作流程。为了能够了解到DevOps的现状和未来的发展方向,我们分别采访了40位IT部门主管,他们共来自于37个不同组织。我们分别向他们请教了这样一个问题:“自从公司采用了DevOps这套方法,你觉得公司内发...
sysaid-module:Sysaiud 的快速入门 Java 模块
07-06
将文件夹“NOME_PROJETO”以及在其 iframe 中调用此模块页面的 html 文件放入 sysad 文件夹 ($SYSAID_HOME/) 克隆这个仓库 Clone this repository: git clone git@github....
wufoo-connector-camel:使用Apache Camel将Wufoo表单提交映射到其他系统(SysAid等)的中间件
05-26
成功完成Wufoo表单后,Wufoo / SysAid Connector将使用从WuFoo表单接收到的信息在SysAid中创建服务请求。 集成使用Wufoo的webhook将WuFoo表单提交的请求发送给apache骆驼侦听器。 Camel侦听器通过Camel Jetty组件...
2022-2028全球与中国帮助台软件市场现状及未来发展趋势
01-12
大型企业通常需要更复杂、功能更全面的帮助台软件来支持庞大的IT基础设施,而中小企业则更倾向于成本效益高、易于部署的解决方案。 从地区角度来看,北美、欧洲、亚太和印度等地都有显著的市场表现。北美作为成熟...
1.1 关于游戏编程
逆的博客
11-06 969
1.1.1、游戏中客户端和服务器的交互 1.1.2、游戏客户端安装包和服务器安装包 1.1.3、客户端软件如何和服务端软件通信 1.1.4、计算机之间的通信数据传送抓取(wireshark) 1.1.5、关于游戏引擎
Multi Agents协作机制设计及实践
weixin_43990004的博客
11-05 1142
在前述博客中,我们利用LangChain、AutoGen等开发框架构建了一个数据多智能体的平台,并使用了LangChain的Multi-Agents框架。然而,在实施过程中,我们发现现有的框架存在一些局限性,这些局限性影响了系统的整体性能和用户体验。本文将从多智能体协作的重要性、协作机制的难点以及应用方向三个方面进行详细阐述。
AI 扩展开发者思维方式:以 SQL 查询优化为例
最新发布
nbsaas-boot基于Request-Response的企业级快速开发框架
11-09 545
在使用 AI 之前,开发者可能已经习惯了使用传统的 SQL 写法和思路。比如在检查表中是否存在记录时,通常会选择使用COUNT(*),因为这是最为直观的方式。然而,随着 AI 的介入,开发者发现了新的查询方式,比如使用EXISTS或LIMIT来优化性能。这种思维方式的转变,实际上是一种"思维扩展"。AI 通过提供不同的视角和更优的解决方案,让开发者意识到以往没有尝试过的可能性。不仅扩展了开发者的工具箱,还帮助他们从新的角度思考问题,突破以往的编程习惯和思维定势。
[QUIC] 版本协商
VFSSoft Blogs
11-05 639
QUIC 版本协商的工作原理
C++编程:嵌入式Linux-ARM与外设中断交互的程序设计
Where there is life, there is hope.
11-09 1221
本文介绍在 Linux-ARM 系统中利用中断与外设(如 DSP、DAC、扫描仪等)交互的模块,实现了低延迟的中断响应。外设通过 UIO 驱动暴露 `/dev/uio` 设备节点,用户空间程序可以通过这些节点来处理中断。
抽象工厂模式详解
hello.reader
11-09 578
*抽象工厂模式(Abstract Factory Pattern)**是创建型模式之一,它提供了一种创建一系列相关或相互依赖对象的接口,而无需指定它们的具体类。抽象工厂模式通过为每个产品族定义一组接口(抽象工厂),并且将这些接口的实现(具体工厂)延迟到子类中,实现不同产品族的创建。核心思想产品族和产品等级结构:抽象工厂模式专注于生产一组相关的产品,例如跨平台应用中同一风格的 UI 组件,可以属于同一产品族。隐藏具体类。
QCustomPlot添加自定义的图例,实现隐藏、删除功能(二)
MusicScore的博客
11-06 167
要实现一个支持复选框来控制曲线显示和隐藏的自定义QCPLegend类,可以通过继承QCPLegend并重写绘制和事件处理方法来实现,同时发出信号通知曲线的状态变更。
(没有跳过联网激活)导致使用微软账号激活电脑---修改为本地账户和英文名字
qq_46089163的博客
11-06 403
当没有联网激活新买的电脑时候,这个就不用看了当你是联网激活的时候,一般会使用微软账户登录进你的电脑,这个时候系统会给你注册表,文件夹,还有系统变量等等都改为,当前微软账号的前5位数,对此需要进行文件夹和注册表的更改最后需要删除当前的账户。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值