Existem crises “lentas” na segurança cibernética, como ataques potenciais ao código de inicialização em smartphones e computadores móveis - qualquer coisa que requeira acesso físico ao hardware. O fato de que esse acesso não precisa também nem sempre é um problema que deve ser tratado "ontem": mesmo vulnerabilidades críticas são frequentemente exploradas com muitas advertências e dificuldades adicionais no caminho para dados importantes. Os ataques aos servidores de email do Microsoft Exchange provavelmente se tornarão um exemplo clássico de um problema de desenvolvimento rápido e mais perigoso para vítimas em potencial.
Quatro vulnerabilidades do Exchange ativamente exploradas reveladas3 de março. A segunda semana da "crise postal" foi agitada. Um código de demonstração explorando vulnerabilidades foi publicado no Github. A prova de conceito foi prontamente removida , pelo que o Github (e a Microsoft, como dona do serviço) foram criticados. Vários estudos relataram ao mesmo tempo um ataque a servidores de email não por um, mas por pelo menos uma dúzia de grupos diferentes. No dia 13 de março ficou sabendo da utilização de servidores já comprometidos para ataques com criptografia e extorsão de dados. Ao mesmo tempo, os descobridores das vulnerabilidades esclareceram o cronograma da investigação: aparentemente, a vulnerabilidade chave do Exchange foi descoberta durante uma auditoria em dezembro.
Uma linha do tempo detalhada do desenvolvimento dos eventos está publicada no site de Brian Krebs. Segundo ele, o fornecedor foi notificado sobre as vulnerabilidades quase simultaneamente por duas empresas, independentes uma da outra. Ao mesmo tempo, a Volexity notificou a Microsoft sobre a investigação de ataques reais. Devcore descobriu duas das quatro vulnerabilidades sem estar ciente de sua exploração em uma auditoria de segurança do Exchange em outubro do ano passado. Na semana passada, a Devcore publicou uma cronologia detalhada de sua própria interação com a Microsoft: no início de dezembro, eles encontraram uma maneira de contornar a autenticação no servidor de e-mail, na véspera de ano novo, eles encontraram uma vulnerabilidade ao gravar dados arbitrários no servidor e, assim, simularam um ataque de trabalho.
No final de janeiro, a Trend Micro relatou casos de hackeamento de servidores de e-mail com a organização de um web shell para posterior controle sobre eles, mas associa os ataques a outra vulnerabilidade que já estava fechada naquele momento. Em meados de fevereiro, a Microsoft anunciou a Devcore que planeja fechar as vulnerabilidades durante o lançamento do patch planejado para 9 de março. Mas, no final das contas, aqueles que hackeavam servidores anteriormente de forma seletiva passam para as táticas de busca em grande escala e hackeamento de organizações vulneráveis. Isso, por sua vez, força a Microsoft a distribuir patches seis dias antes da Patch Tuesday, 3 de março. Já na época em que os patches foram distribuídos, o número de servidores de email atacados foi estimado em dezenas de milhares.
Em 12 de março, a Microsoft, citando o RiskIQ, fornece uma estimativa geral do número de servidores potencialmente vulneráveis. Em 1º de março, havia cerca de 400 mil deles. Até 9 de março, 100 mil servidores não foram corrigidos, até 12 de março, seu número caiu para 82 mil. Ao mesmo tempo, um drama separado surge com a publicação de PoC no Github. Depois que o patch foi lançado, era apenas uma questão de tempo antes que a prova de conceito fosse submetida à engenharia reversa.
O código do ataque ao Exchange é publicado no dia 10 de março, e imediatamente banido no GitHub, pelo qual a Microsoft recebe uma porção de críticas: é censura? Os anticensores começam a postar como uma contramedida cópias do código em suas contas. É claro que a Internet não funciona assim: o que foi publicado nela, não será mais possível publicar. Mas também há um contra-argumento: o exploit concluído, é claro, é útil para fins de "pesquisa" e como parte de um pacote para testar redes corporativas, mas para aquelas centenas de milhares de organizações com um buraco aberto, ele trará ainda mais problemas. Eles agora estão sendo atacados por todos, e provavelmente as empresas que possuem o mínimo de recursos para resolver quaisquer problemas de segurança estão sob a distribuição.
Se você acha que esta história não causou danos suficientes, aqui está outro ponto. Um estudo de Palo Alto fornece alguns detalhes de um shell da web instalado em servidores comprometidos. A partir dessas informações, um funcionário Devcore conhecido pelo apelido de Laranja Tsai faz a suposição de que o exploit ele desenvolveu foi utilizado em ataques reais antes do patch foi lançado. Ele compartilhou em particular um exploit de demonstração com a Microsoft no início de janeiro. Como ele acabou nas mãos de um (ou mais) dos grupos de ataque? De acordo comA mídia, o vazamento ocorreu depois que a Microsoft compartilhou informações com parceiros. O exploit foi colocado em operação quase inalterado e é identificado pelo barbante “laranja” costurado nele, deixado por Orange Tsai.
Bem, para concluir, vamos falar sobre extorsão. Fechar a vulnerabilidade não ajudará se o servidor já tiver sido comprometido e seus proprietários não conseguirem identificar a presença de um shell da web. Parece que a porta dos fundos típica deixada pelos grupos de cracking originais agora está sendo explorada por ransomware. O Access é usado para criptografar dados e o texto usa o termo DearCry, uma referência ao ataque de ransomware WannaCry de 2017. Veredicto provisório breve: tudo está muito ruim. É tão ruim que a Microsoft lançou um patchpara uma versão sem suporte do Exchange Server 2010. E ainda não sabemos sobre as consequências dos ataques, que provavelmente foram acompanhados por roubo de correspondência, hackeamento de outros servidores na rede corporativa, e assim por diante. Os nomes das organizações afetadas já estão se tornando conhecidos. Entre eles, por exemplo, o parlamento da Noruega .
O que mais aconteceu
BleepingComputer está relatando uma nova tática para golpistas que anunciam "brindes de criptomoedas" nas redes sociais. Em vez de imitar Elon Musk, eles anunciam o golpe de maneira direta por meio de mecanismos pagos do Twitter.
O Google publica um código de demonstração para fins de pesquisa que explora a vulnerabilidade Spectre. O ataque prático mostra o roubo do conteúdo da memória por meio do navegador Chrome 88 a uma velocidade de 1 kilobyte por segundo.
Um conjunto de atualizações para produtos da Microsoft, lançado em 9 de março, aborda uma vulnerabilidade de dia zero no Internet Explorer. E os usuários reclamamque outra atualização deste conjunto trava o Windows em uma tela azul ao tentar imprimir algo na impressora.
O vídeo no tweet acima mostra como acionar uma negação de serviço no sistema multimídia de um carro conectando um teclado USB à porta. Vulnerabilidades
críticas em dispositivos BIG-IP e BIG-IQ de alto desempenho da F5 Networks permitem contornar o mecanismo de autorização.