Haberler

Rus Kaynaklı Malware, ADFS’i Ele Geçiriyor İstediği Kullanıcı İle Oturum Açabiliyor

Microsoft, Rus hacker grubu APT29 (aka NOBELIUM, Cozy Bear) tarafından kullanılan ve organizasyon networkuna sızılmış bir ağda herhangi bir kullanıcı olarak kimlik doğrulamayı sağlayan yeni malware keşfetti.

‘MagicWeb’ olarak adlandırılan malware, saldırganların ele geçirilmiş Active Directory Federasyon Hizmetleri (ADFS) sunucularının yapılandırma veritabanına sızmasına, şifre çözme sertifikalarının şifresini çözmesine ve payload yüklemesine izin veren FoggyWeb’in bir türevi. MagicWeb zararlısı, kullanıcı kimlik doğrulama sertifikalarını değiştirmek ve ele geçirilmiş sunucu tarafından oluşturulan token’ları değiştirmek için ADFS tarafından kullanılan DLL dosyasını kötü amaçlı bir sürümle değiştiriyor.

Microsoft, saldırı ile ilgili bir klavuz paylaştı ve bu klavuzu takip ederek zararlının tespit edilmesini tavsiye etti.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu