fastestinfo
Гость
ConnectWise Control — компания-подрядчик, предоставляющая организациям управляемые службы и включает удаленную работу со всей IT-инфраструктуры компании или её частью (MSP); предоставляет ПО для получения доступа к удаленным рабочим ПК, и недавно она зафиксировала необычно сложную фишинговую компанию на своих пользователей. Когда клиент хочет использовать ПО для удаленного администрирования компьютера, веб-сайт ConnectWise создает исполняемый файл, который клиент может загрузить перейдя по гиперссылке.
В октябре ИБшник Кен Пайл (Ken Pyle) уведомил ConnectWise, что в структуре исполняемого файла имеется уязвимость, с помощью которой злоумышленник может создать свою ссылку для клиента CW, которая будет перенаправлять и/или проксировать удаленное соединение на сервер, подконтрольный злоумышленнику. Используя трайл сервиса ConnectWise, Пайл продемонстрировал компании довольно легкий процесс создания криптографически подписанного ConnectWise'ом файла, который способен обходить сетевые ограничения, направляя юзера на вредоносный сервер.
«Я могу отправить эту ссылку жертве, она перейдет по этой ссылке, и ее рабочая станция снова подключится к моей копии файла по ссылке на вашем сайте», — говорит Кен.
29 ноября примерно в то же время, когда Пайл опубликовал сообщение (Hijacking Connectwise Control & Screen Connect (v.22.9.10032, MULTIPLE) for Fun and Profit - From DDoS to Multi-OS RCE! - CYBIR - Cyber Security, Incident Response, & Digital Forensics) в блоге об этом, ConnectWise выпустила предупреждение (ConnectWise | Trust Center | Advisories) пользователям, чтобы те были впредь внимательней при переходе по ссылкам в электронных письмах, которые компания якобы отправляет при обнаружении необычной активности на учетной записи клиента. ConnectWise в прошлом месяце выпустила обновления программного обеспечения, которые включали новые механизмы защиты от фейкового проксирования, о которой сообщил Пайл. Но компания заявила, что нет оснований полагать, что фишеры, о которых предупреждал исследователь, используют подобные эксплойты, о которых ранее он говорил. И со слов Патрика Беггса (Patrick Beggs), техническая команда отнесла данную проблему к категории минимального риска, и не посчитала нужным уведомлять своих клиентов об этом, «из-за низкой серьезности проблемы мы не выпускали (и не планируем) выпуск рекомендаций по безопасности или предупреждений, поскольку мы оставляем эти уведомления для серьезных проблем с безопасностью». К тому же, Беггс добавил, что вредоносные сервера никак не были связаны с внутренней средой компании.
Опубликованное информационное сообщение, конечно, предупредило людей о такой проблеме, порекомендовав сверять домены. Пайл в ответ на это ответил, что совет-то не очень полезен для клиентов, поскольку вредоносная ссылка может и вовсе отправиться непосредственно с электронного почтового адреса ConnectWise, и она на первый взгляд будет полностью идентична с оригинальным доменом, в нём будет лишь подстановочный символ, и рядовому юзер может не заметить несовпадение.
В октябре ИБшник Кен Пайл (Ken Pyle) уведомил ConnectWise, что в структуре исполняемого файла имеется уязвимость, с помощью которой злоумышленник может создать свою ссылку для клиента CW, которая будет перенаправлять и/или проксировать удаленное соединение на сервер, подконтрольный злоумышленнику. Используя трайл сервиса ConnectWise, Пайл продемонстрировал компании довольно легкий процесс создания криптографически подписанного ConnectWise'ом файла, который способен обходить сетевые ограничения, направляя юзера на вредоносный сервер.
«Я могу отправить эту ссылку жертве, она перейдет по этой ссылке, и ее рабочая станция снова подключится к моей копии файла по ссылке на вашем сайте», — говорит Кен.
29 ноября примерно в то же время, когда Пайл опубликовал сообщение (Hijacking Connectwise Control & Screen Connect (v.22.9.10032, MULTIPLE) for Fun and Profit - From DDoS to Multi-OS RCE! - CYBIR - Cyber Security, Incident Response, & Digital Forensics) в блоге об этом, ConnectWise выпустила предупреждение (ConnectWise | Trust Center | Advisories) пользователям, чтобы те были впредь внимательней при переходе по ссылкам в электронных письмах, которые компания якобы отправляет при обнаружении необычной активности на учетной записи клиента. ConnectWise в прошлом месяце выпустила обновления программного обеспечения, которые включали новые механизмы защиты от фейкового проксирования, о которой сообщил Пайл. Но компания заявила, что нет оснований полагать, что фишеры, о которых предупреждал исследователь, используют подобные эксплойты, о которых ранее он говорил. И со слов Патрика Беггса (Patrick Beggs), техническая команда отнесла данную проблему к категории минимального риска, и не посчитала нужным уведомлять своих клиентов об этом, «из-за низкой серьезности проблемы мы не выпускали (и не планируем) выпуск рекомендаций по безопасности или предупреждений, поскольку мы оставляем эти уведомления для серьезных проблем с безопасностью». К тому же, Беггс добавил, что вредоносные сервера никак не были связаны с внутренней средой компании.
Опубликованное информационное сообщение, конечно, предупредило людей о такой проблеме, порекомендовав сверять домены. Пайл в ответ на это ответил, что совет-то не очень полезен для клиентов, поскольку вредоносная ссылка может и вовсе отправиться непосредственно с электронного почтового адреса ConnectWise, и она на первый взгляд будет полностью идентична с оригинальным доменом, в нём будет лишь подстановочный символ, и рядовому юзер может не заметить несовпадение.