Nowe zero-day w MS Exchange to poważne zagrożenie dla cyberbezpieczeństwa firm. Nie dziwi więc fakt, że Microsoft naciska na klientów, aby jak najszybciej zainstalowali najnowsze poprawki awaryjne. Jak dotąd tylko jedna grupa hackerska – nazwana Hafnium – aktywnie wykorzystująca luki, ale sytuacja może się zmienić w dowolnym momencie. Najlepszą ochroną przed atakiem jest więc zastosowanie nowych poprawek teraz – nie jutro lub w kolejnym tygodniu. Więcej informacji wyczytacie poniżej.
Cztery poprawki awaryjne dla Microsoft Exchange – wgraj je jak najprędzej, zbliża się apogeum ataków
Microsoft wydał właśnie cztery „extra” poprawki dla wszystkich wspieranych wersji MS Exchange. Skąd ten pośpiech? Stąd, że wykryto cztery poważne błędy klasy zero-day, które już są aktywnie wykorzystywane w cyberatakach. Oddzielnie są one „tylko” groźne, połączone razem pozwalają m.in. uzyskać dostęp do serwerów Microsoft Exchange, wykradać pocztę e-mail… Dają także atakującym możliwość wpuszczenia dodatkowego złośliwego oprogramowania, by zwiększyć dostęp do zainfekowanej sieci.
Aby atak zadziałał, atakujący muszą uzyskać dostęp do lokalnego serwera Microsoft Exchange na porcie 443. Jeśli jest to możliwe, cyberprzestępcy wykorzystują następujące luki w zabezpieczeniach:
CVE-2021-26855 to luka w zabezpieczeniach Exchange służąca do fałszowania żądań po stronie serwera (SSRF).
CVE-2021-26857 to luka w zabezpieczeniach deserializacji w usłudze Unified Messaging.
CVE-2021-26858 luka w zabezpieczeniach umożliwiająca zapis dowolnego pliku w Exchange (post-authentication).
CVE-2021-27065 to kolejna luka występująca pod stronie MS Exchange – również umożliwia zapis dowolnego pliku.
Po uzyskaniu dostępu do podatnego serwera Exchange, atakujący mogą zainstalować web shell, z której pomocą wykradają dane, przesyłają pliki i wykonują w zasadzie dowolne polecenia w zaatakowanym systemie. W dalszych krokach przestępcy są również w stanie wykonać zrzut pamięci pliku wykonywalnego LSASS.exe w celu zebrania danych uwierzytelniających z pamięci podręcznej za pomocą właśnie powłoki. I to właśnie w ten sposób są w stanie wyeksportować skrzynki pocztowe i skradzione dane z serwera Exchange i przesłać je do usług udostępniania plików, takich jak MEGA – skąd później są w stanie je łatwo pobrać. Atakujący mogą również utworzyć remote shell – i bez większego problemu zarządzać całą wewnętrzną infrastrukturą.
Tyle teorii, teraz czas na fakty…
Wszystko wskazuje na to, że pierwsze ataki miały miejsce 6 stycznia br. Raport przedstawiony przez specjalistów z Volexity – którzy wykryli anomalną aktywność dwóch klientów Microsoft. Zaobserwowali oni wysyłanie dużej ilości danych na adresy IP, które ich zdaniem, nie były powiązane z rzeczywistymi użytkownikami. Bliższa analiza ujawniła przychodzące żądania POST do plików powiązanych z obrazami, JavaScript, CSS i czcionkami używanymi przez Outlook Web Access.
Chociaż Microsoft określił ataki mianem „Dla wielu organizacji serwer Exchange odgrywa kluczową rolę – i właśnie dlatego jest cennym łupem. Wygląda na to, że atakujący skanują teraz sieć w poszukiwaniu punktów końcowych, podatnych na atak. Prawie 200 organizacji i ponad 350 powłok internetowych zostało już zhakowanych.
W jaki sposób zweryfikować, czy padło się ofiarą tego ataku?
Warto zacząć od zweryfikowania logów serwera web – sprawdź, czy nie miała miejsca podejrzana aktywność, czy nie doszło do zaimplementowania web shell, o której pisaliśmy wcześniej. Zmiana uprawnień użytkownika lub użytkowników administracyjnych powinna również wzbudzić podejrzliwość i skłaniać do bliższego przyjrzenia się infrastrukturze… zawsze.
Wirtualne sockety jądra Linux z aż pięcioma poważnymi lukami bezpieczeństwa
Alexander Popov – security developer w firmie Positive Technologies – natrafił na zestaw pięciu luk w zabezpieczeniach implementacji gniazda wirtualnego jądra Linuksa. Wspomniane luki (CVE-2021-26708, ocena 7,0 CVSS) mogą posłużyć atakującym do uzyskania dostępu bezpośrednio do root’a i uziemienia serwerów za pomocą ataku Denial of Service (DoS).
Niebezpieczne błędy…
Podatności wykryto w dystrybucji Linux rozwijanej przez społeczność Red Hat – chodzi o Fedora 33 Server. Występują one w systemach, które używają jądra Linux od wersji 5.5 (listopad 2019) do aktualnej wersji jądra głównego 5.11-rc6. Dziury pojawiły się po dodaniu obsługi wielu transportów przez gniazdo wirtualne. Jest powszechnie używany przez agentów gości i usługi hiperwizora, które wymagają kanału komunikacyjnego niezależnego od konfiguracji sieci maszyny wirtualnej.
The bugs were discovered in Red Hat’s community Linux distribution Fedora 33 Server. They exist in the systems which are using the Linux kernel from November 2019’s version 5.5 to the current mainline kernel version 5.11-rc6.
Wirtualne sockety otrzymały obsługę wielu transportów (multi-transport support). Zazwyczaj są one wykorzystywane przez tzw. Guest agents oraz usługi hypervisora, które potrzebują kanału do komunikacji, niezależnego od konfiguracji wirtualnej sieci / konfiguracji sieci maszyny wirtualnej.
„Jądro” problemu…
Głównym problemem są warunki zawarte w sterownikach jądra – CONFIG_VSOCKETS i CONFIG_VIRTIO_VSOCKETS . Są one dostarczane jako moduły jądra we wszystkich głównych dystrybucjach Linuksa. Powodem, dla którego jest to taka istotna kwestia jest fakt, że za każdym razem, gdy zwykły użytkownik tworzy gniazdo AF_VSOCK, podatne moduły zostają automatycznie załadowane. Tzw. race conditions mają miejsce gdy zasadnicze zachowanie systemu zależy od kolejności lub czasu niekontrolowanych wydarzeń.
Łatka opracowana przez Alexandr’a Popov została już włączona do wersji Linux 5.10.13 z 3 lutego. Została ona już również włączona do głównego jądra w wersji 5.11-rc7. Popularne dystrybucje jak Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu i SUSE zostały także zaktualizowane.
Gootloader: Hakerzy używają black hat SEO do wysyłania ransomware i trojanów za pośrednictwem Google i forów
System dystrybucji infostealera Gootkit przekształcił się w złożony i ukryty mechanizm, który otrzymał własną nazwę – Gootloader. Teraz rozpowszechnia szerszą gamę złośliwego oprogramowania za pośrednictwem zhakowanych witryn WordPress i złośliwych technik SEO dla wyników wyszukiwania Google. Zagrożenie dystrybuowane jest w wielu regionach z setek zhakowanych serwerów, które są stale aktywne.
Udokumentowany po raz pierwszy w 2014 roku, Gootkit był złośliwą platformą opartą na Javascript, która służyła do przeprowadzania szeregu przestępczych działań. W tym web injection, przechwytywania zdarzeń klawiatury, robienia zrzutów ekranu, nagrywania filmów, kradzieży maili i haseł.
Z biegiem lat narzędzie ewoluowało i zyskało nowe funkcje do kradzieży informacji. Sam loader Gootkit zaczął być wykorzystywany w połączeniu z REvil/Sodinokibi ransomware. Ostatnio przestępcy stworzyli rozległą sieć zhakowanych witryn WordPress, wykorzystując zatruwanie SEO, aby w wynikach wyszukiwania Google wyświetlać fałszywe wpisy na forach zawierające złośliwe linki.
Atakujący zmodyfikowali systemy zarządzania treścią (CMS) zaatakowanych witryn internetowych, aby pokazywać fałszywe fora dyskusyjne. Wyświetlają one odwiedzającym z określonych obszarów geograficznych dyskusje, które rzekomo zawierają odpowiedź na ich zapytania. W poście od “administratora strony” znajduje się link do złośliwego pliku.
Co więcej, wyniki wyszukiwania wyświetlają fora, które nie mają logicznego powiązania z wyszukiwanym hasłem, co może wskazywać na to, że atakujący mają rozległą sieć zhakowanych witryn.
Kliknięcie w link przenosi użytkownika do archiwum ZIP z plikiem JavaScript, który działa jako infektor. Ładunek ten jest podwójnie zaciemniony, aby uniknąć wykrycia przez tradycyjne rozwiązania antywirusowe. Obejmuje również dwie warstwy szyfrowania stringów i data blobów warunkujących dalszą część ataku.
Jeśli przejście do drugiego etapu powiedzie się, serwer C&C Gootloader dostarczy ciąg wartości liczbowych reprezentujących znaki ASCII, który jest ładowany do pamięci systemowej.
Jego celem jest odkodowanie treści zapisanej wcześniej w kluczach rejestru. Ostatecznie kończy się pobraniem ostatniego ładunku, którym może być Gootkit, REvil, Kronos lub Cobalt Strike.
Microsoft potwierdził technikę infekcji Gootloader twierdząc, że zaobserwowano liczne ataki wymierzone w szczególności na użytkowników w Niemczech.
„ObliqueRAT” ukrywa się za obrazkami w zhakowanych witrynach internetowych
Jedna z licznych zasad panująca w świecie cyberprzestępców jest taka, aby szybko zmieniać swoją technikę działania w momencie, gdy zostanie wykryta. Reguły tej trzymają się operatorzy trojana zdalnego dostępu – ObliqueRAT.
Naukowcy z Cisco Talos odkryli niedawno, że grupa Transparent Tribe stojąca za ObliqueRAT wykorzystuje złośliwe dokumenty Microsoft Office do kierowania użytkowników na strony internetowe zawierające złośliwe treści. Te złośliwe dokumenty natychmiast umieszczały ObliqueRAT w systemie ofiary. Po wykryciu modus operandi, przestępcy szybko zmienili swoją taktykę. W nowej kampanii ukrywają malware w pozornie niegroźnych plikach graficznych na zainfekowanych stronach internetowych. Złośliwe dokumenty Office służą jedynie do kierowania ofiar na te obrazki.
Steganografia nie jest niczym nowym – przestrzegaliśmy przed nią wielokrotnie. Jednak używanie złośliwych dokumentów do wskazywania użytkownikom ładunków w plikach graficznych nie jest zbyt powszechne. To pokazuje, że aktorzy nieustannie projektują nowe techniki infekcji i rozwijają swoje możliwości.
ObliqueRAT to trojan służący do szpiegowania użytkowników, w tym za pośrednictwem systemowej kamery internetowej. Może robić zrzuty ekranu i wykradać pliki. Umożliwia również atakującym dostarczanie złośliwej zawartości i wykonywanie dowolnych poleceń w zaatakowanych systemach.
Badacze Cisco Talos nie byli w stanie dokładnie określić, w jaki sposób atakujący dostarczają ofiarom złośliwe dokumenty Microsoft Office. Jedną z możliwości jest phishing email i załączniki, czyli najbardziej powszechny wektor malware. Zamiast załączników możliwe jest wykorzystanie adresów URL służących do pobrania zainfekowanych dokumentów. Specjaliści nie są też pewni metod, których przestępcy używają do hakowania stron internetowych i umieszczenia na nich “zatrutego” obrazu z ładunkiem ObliqueRAT.. Potencjalne wektory infekcji mogą obejmować wszystko – od łatwych do odgadnięcia słabych danych uwierzytelniających po znane exploity na przestarzałe i nie aktualizowane platformy hostingowe.
Prawdopodobnie ciąg dalszy nastąpi….