Главной новостью прошедшей недели стало раскрытие информации о четырех критических уязвимостях в почтовом сервере Microsoft Exchange, которые на момент обнаружения активно использовались для кибератак. Особенности уязвимостей (возможность полного обхода механизма авторизации, эскалации привилегий, записи произвольных файлов на скомпрометированном сервере) создали предпосылки для «идеального шторма» в области кибербезопасности. По некоторым данным, жертвами атаки уже стали десятки тысяч организаций только в США.
После выпуска обновлений, закрывающих уязвимости, атаки на уязвимые серверы только усилились. Компания Microsoft атрибутирует исходную атаку группировке Hafnium китайского происхождения, и (по состоянию на 2 марта) не зафиксировано примеров эксплуатации уязвимостей кем-то еще. Скорее всего, непропатченные серверы будут атаковаться всеми желающими еще долгое время. Отдельную проблему представляет установка бэкдора после взлома серверов: патчи способны закрыть изначальную точку входа, но уже атакованным организациям они не помогут. Все настолько плохо, что операторам серверов Microsoft Exchange рекомендуют исходить из того, что они уже взломаны.
Источники информации:
По данным компании Volexity, первые атаки на почтовые серверы Microsoft Exchange были обнаружены еще в начале января этого года. В ходе дальнейшего расследования нашли четыре уязвимости, одной из которых (CVE-2021-26855) уже достаточно для нанесения серьезного ущерба. Данная уязвимость относится к классу Server-Side Request Forgery и позволяет обойти систему авторизации на сервере. С ее помощью злоумышленники успешно выгружали содержимое почтовых ящиков. Уязвимости подвержены версии Microsoft Exchange Server 2013, 2016 и 2019, то есть все, поддерживаемые вендором.
Еще три уязвимости позволяют разными способами закрепиться в системе. В частности, уязвимость CVE-2021-27065 дает возможность авторизованному пользователю перезаписать любой файл на сервере. В комбинации со средством обхода авторизации эта уязвимость использовалась, чтобы открыть веб-шелл для последующего управления взломанным сервером. Использование двух уязвимостей показано на этом видео от команды DEVCORE (больше информации приводится на их сайте):
Раскрытие информации об уязвимостях и активных атаках стало только началом истории: кажется, мы будем обсуждать ее весь этот год. Атака серьезно повышает стоимость защиты локальных сервисов и, скорее всего, вынудит еще больше организаций перейти на использование облачных технологий, где за безопасность отвечает поставщик. Речь идет не только о своевременной установке патчей (хотя даже с этим возникают проблемы), но и о закрытии уже установленных бэкдоров.
Очевидно, требуется использовать расширенные средства защиты. Первые атаки были обнаружены только благодаря детектированию необычно большого трафика в нестандартном направлении, а с точки зрения почтового сервера ничего необычного не происходило. Обнаружение запуска подозрительного кода доверенным процессом, защита от модификации файлов, в том числе при попытке их зашифровать, — все это требуется в случае атаки на уязвимый софт. Если предварительные оценки количества атакованных организаций верны, ситуацию можно сравнить с обнаружением прорехи в пользовательских роутерах, когда потенциальных жертв — десятки и сотни тысяч. Только потенциальный ущерб в данном случае гораздо выше.
Новая атака по сторонним каналам, по мотивам SPECTRE: на практике показан способ кражи секретов, на этот раз с эксплуатацией шины, связывающей отдельные ядра процессоров (подвержены процессоры Intel, у AMD другая технология). Тем временем эксплойт для уязвимости SPECTRE, судя по всему, попал в руки киберпреступников.
На BleepingComputer описывается нестандартный пример вымогательства с шифрованием данных, где для связи жертв со злоумышленником предлагается использовать чат-сервер Discord.
Обнаружена утечка данных с серверов SITA Passenger Services — подрядчика многих авиакомпаний по всему миру. Вероятно, затронуты данные часто летающих пассажиров альянсов Star Alliance и OneWorld.
Интересный пример атаки на системы распознавания картинок с использованием машинного обучения. Чтобы сбить систему с толку, достаточно поставить перед объектом табличку с названием другого предмета. См. также обсуждение на Хабре.
Выпущен браузер Google Chrome 89: в очередном релизе закрыта уязвимость zero-day (подробности вендор раскрывать не стал).
Интересное описание уязвимости в системе авторизации Microsoft. Когда вы пытаетесь сменить пароль, вам на устройство отправляется код авторизации, который надо ввести на сайте. Исследователь не нашел тривиальных проблем в этом механизме, позволяющих подобрать код брутфорсом, но нашел нетривиальную: отправка множества кодов авторизации одновременно в течение очень короткого промежутка времени.
В недавнем ДТП на гонке Formula E обвинили программный баг. При выходе из строя передних тормозов система должна активировать тормоза на задних колесах. В случае с пилотом Эдоардо Мортарой этого не произошло: электрический болид не вписался в поворот и въехал в защитное ограждение.
Статья Брайна Кребса исследует черный рынок расширений для браузеров. Они приобретаются для включения пользователей в ботнет, который потом используют в качестве нелегального VPN-сервиса.
После выпуска обновлений, закрывающих уязвимости, атаки на уязвимые серверы только усилились. Компания Microsoft атрибутирует исходную атаку группировке Hafnium китайского происхождения, и (по состоянию на 2 марта) не зафиксировано примеров эксплуатации уязвимостей кем-то еще. Скорее всего, непропатченные серверы будут атаковаться всеми желающими еще долгое время. Отдельную проблему представляет установка бэкдора после взлома серверов: патчи способны закрыть изначальную точку входа, но уже атакованным организациям они не помогут. Все настолько плохо, что операторам серверов Microsoft Exchange рекомендуют исходить из того, что они уже взломаны.
Источники информации:
- Бюллетень Microsoft, техническое описание, рекомендации для системных администраторов, скрипт для анализа логов сервера на наличие индикаторов взлома.
- Статья Брайана Кребса с оценкой количества взломанных серверов в США.
- Статья в блоге компании Volexity, с некоторыми индикаторами взлома.
- Обзор от экспертов «Лаборатории Касперского», в частности сообщающий о массовой эксплуатации уязвимостей за пределами США.
По данным компании Volexity, первые атаки на почтовые серверы Microsoft Exchange были обнаружены еще в начале января этого года. В ходе дальнейшего расследования нашли четыре уязвимости, одной из которых (CVE-2021-26855) уже достаточно для нанесения серьезного ущерба. Данная уязвимость относится к классу Server-Side Request Forgery и позволяет обойти систему авторизации на сервере. С ее помощью злоумышленники успешно выгружали содержимое почтовых ящиков. Уязвимости подвержены версии Microsoft Exchange Server 2013, 2016 и 2019, то есть все, поддерживаемые вендором.
Еще три уязвимости позволяют разными способами закрепиться в системе. В частности, уязвимость CVE-2021-27065 дает возможность авторизованному пользователю перезаписать любой файл на сервере. В комбинации со средством обхода авторизации эта уязвимость использовалась, чтобы открыть веб-шелл для последующего управления взломанным сервером. Использование двух уязвимостей показано на этом видео от команды DEVCORE (больше информации приводится на их сайте):
Раскрытие информации об уязвимостях и активных атаках стало только началом истории: кажется, мы будем обсуждать ее весь этот год. Атака серьезно повышает стоимость защиты локальных сервисов и, скорее всего, вынудит еще больше организаций перейти на использование облачных технологий, где за безопасность отвечает поставщик. Речь идет не только о своевременной установке патчей (хотя даже с этим возникают проблемы), но и о закрытии уже установленных бэкдоров.
Очевидно, требуется использовать расширенные средства защиты. Первые атаки были обнаружены только благодаря детектированию необычно большого трафика в нестандартном направлении, а с точки зрения почтового сервера ничего необычного не происходило. Обнаружение запуска подозрительного кода доверенным процессом, защита от модификации файлов, в том числе при попытке их зашифровать, — все это требуется в случае атаки на уязвимый софт. Если предварительные оценки количества атакованных организаций верны, ситуацию можно сравнить с обнаружением прорехи в пользовательских роутерах, когда потенциальных жертв — десятки и сотни тысяч. Только потенциальный ущерб в данном случае гораздо выше.
Что еще произошло
Новая атака по сторонним каналам, по мотивам SPECTRE: на практике показан способ кражи секретов, на этот раз с эксплуатацией шины, связывающей отдельные ядра процессоров (подвержены процессоры Intel, у AMD другая технология). Тем временем эксплойт для уязвимости SPECTRE, судя по всему, попал в руки киберпреступников.
На BleepingComputer описывается нестандартный пример вымогательства с шифрованием данных, где для связи жертв со злоумышленником предлагается использовать чат-сервер Discord.
Обнаружена утечка данных с серверов SITA Passenger Services — подрядчика многих авиакомпаний по всему миру. Вероятно, затронуты данные часто летающих пассажиров альянсов Star Alliance и OneWorld.
Интересный пример атаки на системы распознавания картинок с использованием машинного обучения. Чтобы сбить систему с толку, достаточно поставить перед объектом табличку с названием другого предмета. См. также обсуждение на Хабре.
Выпущен браузер Google Chrome 89: в очередном релизе закрыта уязвимость zero-day (подробности вендор раскрывать не стал).
Интересное описание уязвимости в системе авторизации Microsoft. Когда вы пытаетесь сменить пароль, вам на устройство отправляется код авторизации, который надо ввести на сайте. Исследователь не нашел тривиальных проблем в этом механизме, позволяющих подобрать код брутфорсом, но нашел нетривиальную: отправка множества кодов авторизации одновременно в течение очень короткого промежутка времени.
В недавнем ДТП на гонке Formula E обвинили программный баг. При выходе из строя передних тормозов система должна активировать тормоза на задних колесах. В случае с пилотом Эдоардо Мортарой этого не произошло: электрический болид не вписался в поворот и въехал в защитное ограждение.
Статья Брайна Кребса исследует черный рынок расширений для браузеров. Они приобретаются для включения пользователей в ботнет, который потом используют в качестве нелегального VPN-сервиса.