Mandiant hat auf GitHub kostenlose Tools veröffentlicht, mit denen Unternehmen Regeln für die systematische Suche nach Deserialisierungs-Exploits und anderen Arten von Zero-Day-Exploits erstellen können. Dazu gehören auch Regeln für die Suche nach dem JNDI Code Injection Zero-Day, der letzte Woche für log4j veröffentlicht wurde.

In einem neuen Blogbeitrag beschreibt Mandiant die Verbreitung und die Auswirkungen von Deserialisierungsschwachstellen auf eine Vielzahl von Diensten, darunter Exchange und Jira. Hackergruppen wie APT41 nutzen diese seit Jahren aus. Sie nutzen die Schwachstellen, um Dateien hochzuladen, auf nicht autorisierte Ressourcen zuzugreifen und bösartigen Code auf den Zielservern auszuführen.

Die neuen Tools mit den Namen „HeySerial.py“ und „CheckYoself.py“ helfen Unternehmen schnell und in großem Umfang künftige Such- und Erkennungsregeln zu erproben.

Die Experten von Mandiant betonen jedoch nachdrücklich, dass Unternehmen diese Regeln vor dem Einsatz gründlich testen sollten. Mandiant hat außerdem Simulationen einiger beispielhaften Exploits, die im Blogbeitrag vorgestellt werden, auf seine Mandiant Security Validation Plattform hochgeladen, um seinen Kunden zu helfen, die Tests zu beschleunigen.

Weitere Beiträge....