Avviso certificato orfano per sito sconosciuto sulla sessione RDP in esecuzione

1

Impostazione: 11 workstation Windows7, Windows 2008 SBS SP2, router Cisco

Ieri ho eseguito l'RDP alla mia sessione di amministrazione di lunga durata in Windows SBS 2008 per trovare questo avviso di sicurezza in attesa:

Cliccandosu"Visualizza certificato" rivela questo:

Eidettagliattuali:

Anchesecisonoriferimentiminimionline,investigaresulDNSdelsitorivelacheprobabilmenteèlegittimo.

Lamiapreoccupazioneprincipaleèilmotivopercuiricevoquestoavvisodal:

  1. Nessunohaeffettuatol'accessoalserverdall'ultimavoltachehoeseguito(16/01)(inbaseaTerminalServices-Gatewaylog-anchesoloscopertoTerminalServices-RemoteConnectionManagerèperqualchemotivodisabilitato)
  2. Sonol'unicocheutilizzaquell'account
  3. IEnonerainesecuzioneelacronologiadinavigazioneeraesattamentecomel'avevolasciatamoltigiornifa
  4. Nonriescoapensareanessunonellamiaorganizzazionecheaccedaaquelsitowebspecifico

Equelloovvio:ilnostroserverèstatocompromesso?

Unaltrocontesto:

QuestaèlasecondavoltachevienevisualizzataunafinestradidialogodiavvisodelcertificatoorfanodurantelaconnessioneallamiasessioneRDP(ilserverèstatoriavviatodaallora).Laprimavolta,èstatoperilsito"sydneythomas.com" (un po '"gioielleria" a ottobre 2016, ora dominio parcheggiato). L'ho segnalato alla società responsabile per il supporto IT, e il loro verdetto è stato che "qualcuno ha usato sidneythomas.com per testare qualcosa" che è semplicemente ridicolo e completamente fuori dal contesto.

Aggiornamento:

A un esame più attento mi sono reso conto che la fonte dell'avviso è Servizio di aggiornamento Java (ProcessExplorerdiceC:\ProgramFiles(x86)\CommonFiles\Java\JavaUpdate\jusched.exe).Hotrovatoanchequesto superuser domanda ( sì ancora vergognosamente su Java 7 versione 21 ), ma non è stato in grado di trovare le specifiche di tale exploit. A questo punto oltre ad applicare Java, sto cercando di capire il vettore di attacco. Una scansione di jusched.exe con virustotal dice che è pulito e non riesco a vedere nulla fuori dall'ordinario con questo file.

    
posta dev 27.01.2017 - 01:04
fonte

0 risposte

Leggi altre domande sui tag