Fortinet monitora costantemente le minacce più recenti, in modo da informare per tempo aziende e utenti sui rischi che corrono, e sensibilizzarli su come difendersi.
Di recente Fortinet ha identificato documenti di Microsoft Office malevoli che tentavano di sfruttare alcuni siti Web legittimi – nello specifico MediaFire e Blogger – per eseguire uno shell script e poi rilasciare due varianti malware di Agent Tesla e njRat. Agent Tesla è un noto spyware, scoperto per la prima volta nel 2014, che può rubare dati personali da browser web, client di posta e server FTP, raccogliere screenshot e video e acquisire i dati degli appunti. njRat (noto anche come Bladabindi) è un trojan remote agent scoperto per la prima volta nel 2013, in grado di controllare da remoto il dispositivo della vittima per registrare quanto viene digitato sulla tastiera, accedere alla fotocamera, rubare le credenziali memorizzate nei browser, caricare/scaricare file, manipolare il registro e altro ancora.
- Piattaforme interessate: Microsoft Windows
- Soggetti colpiti: Utenti Windows
- Impatto: Controllo e raccolta di informazioni sensibili dal dispositivo della vittima
- Livello di gravità: Critico
- Maggiori informazioni: https://www.fortinet.com/blog/threat-research/leveraging-microsoft-office-documents-to-deliver-agent-tesla-and-njrat
Fortinet segnala che il 28 settembre 2022, la società di cybersicurezza GTSC ha pubblicato un blog post che illustrava un tentativo di exploit su un sistema che stava monitorando. Dopo l’analisi, sono stati in grado di individuare e inviare due bug a Microsoft tramite la Zero Day Initiative (ZDI-CAN-18333 (CVSS 8.8) e ZDI-CAN-18802 (CVSS 6.3)). Microsoft ha convalidato i risultati e le vulnerabilità sono state assegnate a CVE-2022-41040 e CVE-2022-41082. Le vulnerabilità riguardano Exchange, il server di posta elettronica e calendario di Microsoft. Rilasciato per la prima volta nel 1996 (come Exchange 4.0), la sua versione più recente è Exchange 2019. È disponibile per l’installazione on-premise o online tramite un modello Software-as-a-Service (SaaS). CVE-2022-41040 è una vulnerabilità SSRF (Server-Side Request Forgery) e CVE-2022-41082 consente l’esecuzione di codice remoto (RCE) quando è disponibile PowerShell.
- Piattaforme interessate: Microsoft Exchange Server 2013, 2016 e 2019 on premises.
- Utenti interessati: Tutte le organizzazioni che utilizzano la versione vulnerabile di Microsoft Exchange.
- Impatto: I cybercriminali che operano da remoto ottengono il controllo dei sistemi vulnerabili.
- Livello di gravità: alto
- Maggiori informazioni: https://www.fortinet.com/blog/threat-research/microsoft-exchange-zero-day-vulnerability-updates