Krytyczne luki VMware to nie jedyny problem, z jakim przyszło mierzyć się temu producentowi oprogramowania do wirtualizacji w minionym tygodniu. Pamiętacie grupę BlackMatter, która ogłosiła się następcą REvil i przed którą ostrzegaliśmy w poprzednim wydaniu Centrum Bezpieczeństwa Xopero? Jest już w posiadaniu programu szyfrującego wycelowanego w VMware ESXi. Ponadto dzisiaj przybliżamy dość awangardowy model biznesowy nowego LockBit 2.0. oraz akcję szpiegowską wycelowaną w największe telekomy. Dla “równowagi” opisujemy jeszcze nowy projekt od Microsoft . „Super Duper Secure Mode” ma zmienić krajobraz exploitów i znacząco podnieść koszt ataków.
Krytyczne luki VMware w wielu produktach – pilna aktualizacja
Firma VMware wydała aktualizację zabezpieczeń dla wielu swoich produktów, która usuwa krytyczną lukę w zabezpieczeniach. Mogłaby zostać wykorzystana do uzyskania dostępu do poufnych informacji.
Luki śledzone jako CVE-2021-22002 (CVSS: 8,6) i CVE-2021-22003 (CVSS: 3,7) dotyczą takich produktów jak: VMware Workspace One Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation oraz vRealize Suite Lifecycle Manager.
CVE-2021-22002 dotyczy sposobu, w jaki VMware Workspace One Access i Identity Manager umożliwiają aplikacji webowej „/cfg” i diagnostycznym endpointom dostęp przez port 443. Pozwalają one na manipulowanie nagłówkiem hosta, co skutkuje żądaniem po stronie serwera.
Firma VMware zajęła się również usterką umożliwiającą ujawnienie informacji, która ma wpływ na VMware Workspace One Access i Identity Manager poprzez nieumyślnie ujawniony interfejs logowania na porcie 7443. Osoba atakująca z dostępem sieciowym do tego portu może potencjalnie przeprowadzić atak typu brute-force. Atak ten może, ale nie musi być oparty o konfigurację zasad blokowania i złożoność hasła.
Klientom, którzy nie mogą uaktualnić się do najnowszej wersji, firma VMware oferuje skrypt łagodzący lukę CVE-2021-22002. Może on być wdrażany niezależnie, bez wyłączania urządzeń vRA.
To nie jedyny problem VMware. Pamiętasz grupę ransomware BlackMatter, przed którą ostrzegaliśmy w poprzednim wydaniu Centrum Bezpieczeństwa? W zeszłym tygodniu badacze z MalwareHunterTeam wykryli program szyfrujący Linux ELF64 zaprojektowany w celu atakowania serwerów VMware ESXi. Jego twórcami okazali się… potencjalni następcy REvil ransomware, którzy szybko zaczęli udowadniać swoje przestępcze ambicje.
LockBit rekrutuje pracowników korporacji, którzy pomogą włamać się do sieci – za miliony dolarów
Gang zajmujący się oprogramowaniem ransomware LockBit 2.0 aktywnie rekrutuje osoby z wewnątrz firm. Mają one pomóc im w naruszeniu i zaszyfrowaniu sieci korporacyjnych. W zamian oferują wypłaty w wysokości milionów dolarów.
Model RaaS w skrócie: W popularnym modelu Ransomware-as-a-Service (RaaS) przestępcy utrzymują oprogramowanie ransomware i witryny do płatności, oraz udostępniają je w formie usługi na dark forach. Pozyskani w ten sposób “partnerzy” wykonują “brudną” robotę – włamują się do sieci ofiar i szyfrują urządzenia. W momencie zapłaty okupu obie strony dzielą się łupem. Z reguły w stosunku 70-80% dla partnerów, 20-30% dla twórców ransomware. Jest jednak trzecia strona medalu – w wielu przypadkach “partnerzy” zamiast włamywać się do sieci, rekrutują wewnętrznych pentesterów.
Strategią twórców LockBit 2.0. jest więc ominięcie pośrednika (który zgarnia aż 70-80% zysków). Od teraz sami rekrutują pracowników korporacji, którzy pomogą im dostać się do sieci.
Przypomnijmy – w czerwcu operacja ransomware LockBit ogłosiła premierę nowego projektu LockBit 2.0., który ma być dystrybuowany w modelu RaaS. Otrzymał on przeprojektowane strony Tor oraz nowe funkcjonalności. W tym m.in. automatyczne szyfrowanie domeny Windows Active Directory przy użyciu nowatorskiej metody w Group Policy, co pozwala grupie atakować wiele urządzeń jednocześnie.
Zmienili także tapetę systemu Windows umieszczaną na zaszyfrowanych urządzeniach. Teraz oferuje ona „miliony dolarów” pracownikom korporacyjnym, którzy zapewnią dostęp do sieci. A dokładnie – danych uwierzytelniających RDP, VPN i firmowej poczty e-mail.
Przekupiony pracownik otrzyma również wirusa, którego powinien uruchomić na komputerze, aby umożliwić operatorom ransomware zdalny dostęp do sieci.
Choć ta taktyka może wydawać się zbyt hollywoodzka, niestety nie jest to nowość. Jakiś czas temu rosyjscy hakerzy próbowali zwerbować pracownika Tesli. Zawsze ostrzegamy, że w łańcuchu bezpieczeństwa to właśnie człowiek jest najsłabszym ogniwem. I jak się okazuje niestety nie wszystkie błędy są wynikiem nieuwagi lub niewiedzy. Dlatego pamiętaj o kontroli dostępu pracowników do danych, aplikacji i urządzeń wewnątrz organizacji.
Nowa funkcja bezpieczeństwa „Super Duper Secure Mode” w Microsoft Edge
Microsoft testuje nowy tryb Super Duper Secure Mode w przeglądarce Edge, który ma zapewnić bezpieczniejsze przeglądanie sieci bez znacznych strat na wydajności.
Polega on na wyłączeniu Just-in-Time Compilation (JIT) z protokołu przetwarzania V8, zmniejszając skalę ataków na systemy użytkoników Edge.
Według danych CVE zbieranych od 2019 roku, około 45% luk wykrytych w silniku JavaScript i WebAssembly V8 było powiązanych z JIT. W przypadku Chrome mowa tu o ponad połowie aktywnie wykorzystywanych luk.
Kompilator JIT został zaprojektowany w celu zwiększenia wydajności komputerów poprzez kompilację kodu w momencie ładowania strony w przeglądarce. Microsoft twierdzi jednak, że wyłączenie go nie zawsze będzie miało negatywny wpływ na wydajność. Za to na bezpieczeństwo wpłynie znacząco.
Po wyłączeniu silnika JIT, Edge mógł włączyć zabezpieczenia – takie jak technologię Control-flow Enforcement Technology (CET) od Intel w momencie renderowania, która wcześniej była niekompatybilna z JIT. Microsoft chce również dodać w przyszłości wsparcie dla Arbitrary Code Guard (ACG), który zapobiegałby ładowaniu złośliwego kodu do pamięci, a także Web Assembly i innych technologii.
Będąc wciąż w fazie eksperymentalnej, Super Duper Secure Mode jest obecnie dostępny za pośrednictwem edge://flags/#edge-enable-super-duper-secure-mode dla użytkowników wersji Canary, Dev i Beta przeglądarki.
Według Microsoft Vulnerability Research moduł ten może zmienić nowoczesny krajobraz exploitów i znacząco podnieść koszt ataków.
DeadRinger atakował serwery Exchange wykorzystując luki ProxyLogon, na długo zanim zostały odkryte
Powiązani z Chinami cyberprzestępcy wykorzystywali znane luki w zabezpieczeniach ProxyLogon w Microsoft Exchange na długo przed ich publicznym ujawnieniem. W ten sposób zaatakowali duże firmy telekomunikacyjne, a celem była kradzież wrażliwych danych klientów i utrzymanie trwałości.
Specjaliści z Cybereason śledzili kampanie cyberszpiegowskie wspólnie określane jako „DeadRinger” – od 2017 roku. Według wstępnego raportu chińska grupa o nazwie SoftCell atakowała serwery największych telekomów w Afryce, na Bliskim Wschodzie, w Europie i Azji od 2019 roku, kradnąc zapisy połączeń.
Zidentyfikowali również dwie inne grupy – Naikon APT i Group-3390, które również wydają się działać na rzecz chińskiego reżimu. One też atakowały telekomy, kradły zapisy połączeń telefonicznych oraz utrzymywały stały dostęp do zainfekowanych sieci.
Choć ataki były osobne, wszystkie były wyjątkowo trwałe, a atakujący dynamicznie reagowali na próby wykrycia i nowe działania zabezpieczające ukrywając się od co najmniej 2017 roku. Wszystkie odbywały się mniej więcej w tym samym czasie, miały te same cele, a co więcej – czasami można było znaleźć je na tych samych endpointach.
Według badaczy nakładanie się tych trzech grup jest dowodem na prawdopobobny związek między podmiotami wynikający z jednego, centralnego dowództwa rządowego.
Telecomy są częstym celem ataków sponosorowanych przez państwa, ponieważ stanowią doskonały punkt startowy dla innych rodzajów ataków i różnych celów. W tym przypadku według specjalistów ataki służyły celom szpiegowskim. Prawdą jest jednak, że gdyby atakujący zdecydowali się zmienić swoje cele ze szpiegostwa na ingerencję, mieliby możliwość zakłócenia komunikacji dla dowolnego – lub wszystkich – klientów usług telekomunikacyjnych, których to dotyczy.