Wyścig z czasem – to najlepiej podsumowuje sytuację wokół ProxyLogon. Najpierw Microsoft wydał poprawki awaryjne dla podatnych systemów. Niecały tydzień później badacze zauważyli pierwszy ransomware aktywnie wykorzystujący właśnie te luki. Teraz użytkownicy otrzymali narzędzie – ProxyLogon Mitigation Tool – dzięki któremu mogą sprawdzić, czy ich systemy zostały już zaatakowane. Narzędzie ogranicza ryzyko aktywnego zastosowania exploitów. Nie jest to w żadnym razie alternatywa dla aktualizacji. Dobra wiadomość jest taka, że dziesiątki tysięcy serwerów MS Exchange zostało już załatanych. Eksperci nigdy wcześniej nie widzieli tak wysokich wskaźników wgrywania poprawek. Mimo to na atak jest nadal podatnych około 82 tys. urządzeń. Stąd decyzja Microsoft o wypuszczenia nowego narzędzia. Chcesz dowiedzieć się więcej? Sprawdź resztę artykułu.
Teraz z pomocą jednego kliknięcia sprawdzisz, czy podatności ProxyLogon są już także Twoim problemem
Microsoft wydał właśnie nowe narzędzie – Exchange On-premises Mitigation Tool (EOMT) które pozwala małym firmom zweryfikować, czy ich serwerom nie zagraża „paczka” podatności ProxyLogon. Skala problemu jest jednak duża. Statystyki pokazują, że nadal ponad 82 tysiące serwerów nie zostało załatanych i tym samym są one podatne na atak – stąd nowe rozwiązanie.
ProxyLogon Mitigation Tool powstało z myślą o klientach, którzy nie zatrudniają pracowników IT – administratorów, czy też specjalistów od cyberbezpieczeństwa. Narzędzie znajduje zastosowanie w przypadku Microsoft Exchange Server 2013, 2016 i 2019.
Należy zauważyć, że narzędzie nie jest w żadnym razie alternatywą dla aktualizacji. Pozwala jednak ono ograniczyć ryzyko wykorzystania luk, dopóki łaty nie zostaną zastosowane… Przy czym powinno się to wydarzyć tak szybko, jak to tylko możliwe.
ProxyLogon Mitigation Tool szczegóły
Skrypt EOMT.ps1 można pobrać z repozytorium Microsoft na GitHub. Po jego uruchomieniu, program sprawdzi następujące rzeczy:
Niweluje częściowo zagrożenie wynikające z podatności CVE-2021-26855 w Server-Side Request Forgery (SSRF), po przez instalację modułu IIS URL Rewrite oraz ustanawiając regułę, która przerywa wszelkie połączenia zawierające „X-AnonResource-Backend” i „X-BEResource” w nagłówku plików cookie.
Pobiera i uruchamia Microsoft Safety Scanner, który następnie usuwa znane powłoki internetowe i inne złośliwe skrypty zainstalowane za pośrednictwem luk ProxyLogon. Skrypt usuwa wszelkie wykryte złośliwe pliki.
Ponadto administratorzy powinni również zweryfikować wskaźniki naruszenia bezpieczeństwa (IOC) w logach Exchange HttpProxy, plikach dziennika Exchange oraz dziennikach zdarzeń aplikacji Windows.
I najważniejsze – jak najszybciej zastosować aktualizację zabezpieczeń wydaną przez Microsoft.
Nowy wariant botnetu Mirai celuje w SonicWall, D-Link, Netgear i urządzenia IoT
Nowy wariant botnetu Mirai celuje w szereg luk w niezałatanych urządzeń D-Link, Netgear i SonicWall oraz w nieznane wcześniej błędy w urządzeniach Internetu Rzeczy (IoT).
Znane i często stare luki w zabezpieczeniach, które wykorzystują przestępcy obejmują: exploit SSL-VPN SonicWall, exploit zapory firewall D-Link DNS-320 (CVE-2020-25506), czy błędy umożliwiające zdalne wykonanie kodu (RCE) w Yealink Device Management (CVE-2021-27561 i CVE-2021-27562). Inne luki to: wada Netgear ProSAFE Plus RCE (CVE-2020-26919), błąd RCE w Micro Focus Operation Bridge Reporter (CVE-2021-22502) oraz exploit dla routera bezprzewodowego Netis WF2419 (CVE-2019-19356).
Oczywiście poprawki dla wszystkich tych błędów zostały wydane. Botnet celuje jednak w urządzenia, które nie zastosowały jeszcze dostępnych aktualizacji.
Po pomyślnym przejęciu urządzenia osoba atakująca upuszcza różne pliki binarne, które pozwalają zaplanować zadania, tworzyć reguły filtrowania, przeprowadzać ataki typu brute-force lub propagować złośliwe oprogramowanie.
Ten botnet jest najnowszym wariantem, opartym na kodzie źródłowym Mirai. Dołączył więc do grupy ponad 60 odmian tego botnetu, które powstały od momentu jego pojawienia się i upowszechniania ataków DDoS po słynnym incydencie z Dyn – dostawcy DNS w 2016 roku.
Ciekawy przypadek znikających plików Microsoft Teams oraz SharePoint – tak naprawdę zostały wykasowane… samoistnie
W poniedziałek 19 marca Microsoft doświadczył ogromnej awarii, która dotknęła prawie wszystkie usługi chmurowe, w tym Microsoft 365, Microsoft Teams, Xbox Live, Exchange Online, Outlook.com i SharePoint. Przerwa w działaniu została spowodowana problemem w konfiguracji usługi Azure Active Directory.
To był poniedziałek. Za to od wtorku wielu administratorów Microsoft SharePoint boryka się z nowym problemem – brakującymi plikami w folderach SharePoint ich klientów. Struktura folderów programu SharePoint jest nadal nienaruszona, ale brakuje większości lub czasami wszystkich plików. Dochodzenie wykazało, że pliki zostały usunięte i znajdują się teraz w chmurowym koszu programu SharePoint lub – w niektórych przypadkach – w koszu na lokalnym komputerze.
Źródło problemu
Firma Microsoft potwierdziła, że problemy są związane z wydanymi wcześniej zaleceniami SP244708 (SharePoint) i OD244709 (OneDrive). Oba zasadniczo dotyczą tego samego i stwierdzają, że lokalne kopie plików OneDrive dla Firm lub SharePoint zostaną przywrócone po zainicjowaniu ponownej synchronizacji. Przyczyna to poniedziałkowa awaria usługi Azure Active Directory (AAD).
Problem wywołała niedostępność danych lokalnie. Jednak Microsoft nie wyjaśnił, dlaczego pliki są usuwane z folderów w chmurze programu SharePoint i dlaczego użytkownicy nadal widzą, że dzieje się tak po jego rozwiązaniu.
To jeszcze nie koniec. Wielu użytkowników usługi Microsoft Teams Free zgłosiło, że pliki udostępnione na ich kanałach nie są już dostępne – ani na komputerze stacjonarnym, ani w kliencie usługi web.
Zdaniem Sama Cosby’ego, inżyniera Microsoft Teams, jego zespół znalazł przyczynę brakujących plików i już wkrótce zostaną zastosowane środki zaradcze. Nie ujawnił jednak, co spowodowało ich „zaginięcie”.
CopperStealer malware może przechwycić Twoje konto w mediach społecznościowych
Badacze z Proofpoint opublikowali szczegółowe informacje o nowym nieudokumentowanym złośliwym oprogramowaniu o nazwie CopperStealer. Kradnie on loginy do mediów społecznościowych i rozprzestrzenia złośliwe oprogramowanie.
Technika targetowania i dystrybucji tego zagrożenia przywodzi na myśl SilentFade – rodzinę złośliwego oprogramowania pochodzącą z Chin i po raz pierwszy zgłoszoną przez Facebooka w 2019 roku.
CopperStealer próbuje ukraść hasła do kont na Facebooku, Instagramie, Google i innych głównych dostawców usług. Przechwycone konta są wykorzystywane do uruchamiania szkodliwych reklam dla zysku i rozprzestrzeniania większej ilości złośliwego oprogramowania.
Specjaliście z Proofpoint zidentyfikowali również dodatkowe wersje skierowane do innych dostawców usług, w tym Apple, Amazon, Bing, PayPal, Tumblr i Twitter.
Jak chronić swoje konta w mediach społecznościowych przed CopperStealer? Najlepiej jak najszybciej ustaw uwierzytelnianie dwuskładnikowe dla wszystkich swoich kont.