- Các chuyên gia bảo mật đã phát hiện một bộ 11 living-off-the-land binaries-and-scripts (LOLBAS) một hình thức tấn công sử dụng binary và script có sẵn trong hệ thống vào các mục đích độc hại có thể bị sử dụng bởi đối tượng tấn công để thực hiện tác vụ hậu khai thác.
Trong 11 LOLBAS được phát hiện gồm có 9 bộ tải LOLBAS và 3 bộ thực thi cho phép đối tượng tấn công tải xuống các dạng mã độc phức tạp hơn và thực thi chúng như một phần của cây tiến trình hợp pháp trong hệ thống.
Cụ thể hơn là các tiến trình: MsoHtmEd.exe, Mspub.exe, ProtocolHandler.exe, ConfigSecurityPolicy.exe, InstallUtil.exe, Mshta.exe, Presentationhost.exe, Outlook.exe, MSAccess.exe, scp.exe, và sftp.exe. Ngoài ra, đối tượng tấn công còn có thể sử dụng các file thực thi từ những phần mềm không phải của Microsoft để đạt được mục tiêu của mình.
 |
|
Phát hiện được đưa ra sau khi một công ty bảo mật công bố khả năng tồn tại một vector tấn công mới lợi dụng chức năng đồng bộ người dùng chéo (cross-tenant synchronization - CTS) của Microsoft Entra ID (tên cũ - Azure Active Directory) để tiến hành leo thang đặc quyền tới các người dùng khác trong trường hợp một người dùng trên môi trường đám mây của dịch vụ bị xâm nhập.
Ngoài ra, đối tượng tấn công còn có thể sử dụng tài khoản bị xâm nhập của người dùng cho việc triển khai cấu hình Cross Tenant Access để duy trì kết nối.
PV
