SambaCry Flaw exploité pour livrer Cryptocurrency Miner


Un défaut de Samba récemment remis, connu sous le nom de EternalRed et SambaCry, a été exploité dans la nature pour fournir un mineur de crypto-courant aux machines vulnérables, ont averti les chercheurs

Ces attaques, observées à la fois par Kaspersky et Cyphort, ont été lancées peu de temps après l'apparition du trou de sécurité et des exploits de preuve de concept (PoC) ont été mis à disposition.

La vulnérabilité, suivie sous le numéro CVE-2017-7494, affecte toutes les versions de Samba depuis 3.5.0 et a été abordée avec la version des versions 4.6.4, 4.5.10 et 4.4.14 . Le défaut permet à un client malveillant de télécharger une bibliothèque partagée dans un partage accessible en écriture et de faire exécuter le fichier par le serveur.

Dans les attaques signalées par les chercheurs, les cybercriminels ont tenté de délivrer des fichiers avec un nom aléatoire et une extension .so (p. Ex. GJZjrflB.so, INAebsGB.so, cblRWuoCc.so).

Les attaquants ont d'abord identifié des actions écrites auxquelles ils pouvaient livrer leur charge utile. Dans les attaques antérieures, les cybercriminels ont tenté de deviner le chemin local nécessaire pour exploiter la vulnérabilité, mais Cyphort a remarqué qu'ils se sont plutôt tournés vers l'utilisation de la méthode NetShareGetInfo, qui fournit des informations sur une ressource partagée particulière sur un serveur.

Le premier fichier livré est une porte dérobée qui fournit aux attaquants une coque inverse qu'ils peuvent exploiter pour exécuter des commandes à distance. Les experts ont souligné que cette partie de l'attaque est basée sur le module Metasploit publié peu de temps après que CVE-2017-7494 a été divulgué.

La porte arrière est utilisée pour télécharger et exécuter un …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils