Noch ein Nachtrag in Sachen Sicherheit. Die Tage hat Microsoft öffentlich gemacht, dass die 0-day-Schwachstelle CVE-2023-47246 in der IT Service Management-Software SysAid IT durch Ransomware-Gruppen ausgenutzt wird. Konkret wurde beobachtet, dass die Schwachstelle CVE-2023-47246 in SysAid wurde von Cl0p-Ransomware-Ablegern ausgenutzt wird. Das ist die Ransomware-Gruppe, der eine breite Ausnutzung der MoveIT Filetransfer-Software gelungen war.
Anzeige
SysAid ist eine IT Service Management-Software, in der es eine Schwachstelle gibt, die von der Cyber-Gang Lace Tempest ausgenutzt werden kann, um Daten zu exfiltrieren und die Ransomware Clop einzusetzen. Das schriebt Microsoft bereits vor einigen Tagen in folgenden Tweet.
Microsoft hat wohl eine Infektion beobachtet. Nachdem Lace Tempest die genannte Schwachstelle ausgenutzt hatte, wurden über die SysAid-Software Befehle ausgegeben, um einen Malware-Loader für die Gracewire-Malware bereitzustellen. Darauf folgen in der Regel menschengemachte Aktivitäten wie Seitwärtsbewegungen, Datendiebstahl und der Einsatz von Ransomware.
SysAid hat diese Warnung zur Schwachstelle CVE-2023-47246 mit technischen Details veröffentlicht. Lace Tempest (das sich mit Bedrohungsakteuren überschneidet, die von anderen Forschern als FIN11 und TA505 identifiziert wurden) nutzte im Juni auf ähnliche Weise eine 0-Day-Schwachstelle in MOVEit Transfer aus.
Anzeige
Anzeige
MS selbst ist auch schon wieder dran. Auf den ersten groben Blick sehe ich bislang drei aktiv ausgenutzte Lücken (alle "wichtig"): CVE-2023-36036, CVE-2023-36033, CVE-2023-36025
Zweimal Rechteausweitung, einmal SmartScreen-Umgehung.