Os invasores têm como alvo vulnerabilidades no ConnectWise ScreenConnect e no Windows Shell. A agência de segurança de TI dos EUA, CISA, está agora alertando sobre o ataque.
Leia mais depois do anúncio
No entanto, no anúncio da CISA que adicionou duas vulnerabilidades atacadas ao Catálogo de Vulnerabilidades Exploradas conhecidas, a agência não forneceu mais detalhes. O alcance, a natureza e as consequências do ataque não são claros. No entanto, outras conclusões podem, por vezes, ser tiradas com base nas entradas de vulnerabilidade CVE. Um ataque ao Windows Shell foi conhecido ontem (CVE-2026-32202, CVSS 4.3risco”médio“). A Akamai, por exemplo, publicou informações básicas mais detalhadas, classificando o vazamento como uma vulnerabilidade de clique zero e discutindo que os invasores podem usá-lo para acessar hashes Net NTLM v2 e usá-los indevidamente em ataques de retransmissão NTLM – e agora fazem isso na prática.
Uma vulnerabilidade de segurança no ConnectWise ScreenConnect, que foi atacada por agentes maliciosos na Internet, é conhecida desde fevereiro de 2024 (CVE-2024-1708, CVSS). 8.4risco”esse“). Desde então, também houve uma atualização no software de monitoramento e gerenciamento remoto (RMM). Aqui, os pesquisadores de segurança de TI da Huntress fornecem informações úteis – que começaram em meados de fevereiro, mas aparentemente ainda são relevantes.
Vulnerabilidade do ScreenConnect culpada
A vulnerabilidade CVE-2024-1708 é uma vulnerabilidade de passagem de caminho que permite que um invasor entregue código malicioso a um sistema vulnerável. De acordo com a Huntress, agentes maliciosos estão usando isso em conjunto com a vulnerabilidade CVE-2024-1709 (CVSS). 10,0risco”crítico“), que permite que a autenticação seja ignorada. O ataque com a vulnerabilidade combinada foi denominado “SlashAndGrab”. ConnectWise ScreenConnect 23.9.7 e versões anteriores são afetados; a correção vem com ScreenConnect 23.9.8 e posterior.
Os gerentes de TI devem preencher as lacunas de segurança aplicando os patches disponíveis. Qualquer pessoa que use o ConnectWise ScreenConnect também encontrará alguns indicadores de um ataque bem-sucedido (Indicadores de Compromisso, IOC) na análise do Huntress, que o sistema pode examinar.
(dmk)
