Thought Leadership
Microsofts Threat Intelligence Team hat eine aktive Ausnutzung einer Zero-Day-Sicherheitslücke in der IT-Support-Software von SysAid Technologies aufgedeckt. Diese Schwachstelle wird von der Ransomware-Gruppe Lace Tempest ausgenutzt, um die Clop Ransomware zu verbreiten.
Lace Tempest ist bekannt für ihre ausgeklügelten Angriffsmethoden, einschließlich der Ausnutzung von Zero-Day-Schwachstellen, um in Systeme einzudringen, Ransomware zu verbreiten und sensible Daten zu entwenden.
Ablauf des Angriffs und Gegenmaßnahmen
Nach dem Ausnutzen der Schwachstelle nutzt Lace Tempest die SysAid-Software, um einen Malware-Loader für die Gracewire Malware zu übermitteln. Dies führt typischerweise zu weiteren Aktionen der Angreifer, wie Datendiebstahl und der Ausbreitung von Ransomware. SysAid hat auf diese Bedrohung reagiert, indem es einen Patch für die Schwachstelle, bekannt als CVE-2023-47246, bereitgestellt hat. Kunden werden dringend gebeten, ihre Systeme auf die Version 23.3.36 zu aktualisieren, die den Patch enthält, und eine gründliche Überprüfung ihrer SysAid-Server auf Kompromittierungen durchzuführen.
Wir fordern alle Kunden mit SysAid-On-Prem-Serverinstallationen auf, sicherzustellen, dass ihre SysAid-Systeme auf Version 23.3.36 aktualisiert werden, die die identifizierte Schwachstelle behebt, und eine umfassende Bewertung der Gefährdung ihres Netzwerks durchzuführen.
Sasha Shapirov,CTO bei Sysaid
