Los ataques a servidores vulnerables solo se han intensificado desde el lanzamiento de actualizaciones para cerrar las vulnerabilidades. Microsoft atribuye el ataque original al grupo Hafnium de origen chino y (al 2 de marzo) no hay ejemplos de explotación de vulnerabilidades por parte de nadie más. Lo más probable es que todo el mundo ataque a los servidores sin parche durante mucho tiempo. Un problema aparte es la instalación de una puerta trasera después de piratear servidores: los parches pueden cerrar el punto de entrada inicial, pero no ayudarán a las organizaciones ya atacadas. Las cosas están tan mal que se aconseja a los operadores de servidores de Microsoft Exchange que asuman que ya se han visto comprometidos.
Fuentes de información:
Según Volexity, los primeros ataques a los servidores de correo de Microsoft Exchange se descubrieron a principios de enero de este año. Durante la investigación adicional, se encontraron cuatro vulnerabilidades, una de las cuales ( CVE-2021-26855 ) ya es suficiente para causar daños graves. La vulnerabilidad pertenece a la clase de falsificación de solicitudes del lado del servidor y podría pasar por alto el sistema de autorización en el servidor. Con su ayuda, los atacantes descargaron con éxito el contenido de los buzones de correo. Las vulnerabilidades afectan a las versiones de Microsoft Exchange Server 2013, 2016 y 2019, es decir, todas son compatibles con el proveedor.
Tres vulnerabilidades más le permiten afianzarse en el sistema de diferentes formas. En particular, la vulnerabilidad CVE-2021-27065permite que un usuario autorizado sobrescriba cualquier archivo en el servidor. En combinación con una autorización de omisión, esta vulnerabilidad se utilizó para abrir un shell web para el control posterior del servidor comprometido. La explotación de dos vulnerabilidades se muestra en este video del equipo DEVCORE (consulte su sitio web para obtener más información ):
La divulgación de vulnerabilidades y ataques activos fue solo el comienzo de la historia: parece que lo discutiremos todo este año. El ataque aumenta drásticamente el costo de asegurar los servicios locales y es probable que obligue a más organizaciones a cambiar a la nube, donde el proveedor es responsable de la seguridad. Estamos hablando no solo de la instalación oportuna de parches (aunque incluso con esto hay problemas), sino también de cerrar las puertas traseras ya instaladas.
Obviamente, necesitas usar protecciones avanzadas. Los primeros ataques se detectaron solo debido a la detección de tráfico inusualmente grande en una dirección no estándar, y desde el punto de vista del servidor de correo, no sucedió nada inusual.... Detección del lanzamiento de código sospechoso por un proceso confiable, protección contra la modificación de archivos, incluso al intentar cifrarlos, todo esto es necesario en caso de un ataque a software vulnerable. Si las estimaciones preliminares del número de organizaciones atacadas son correctas, la situación puede compararse con el descubrimiento de un agujero en los enrutadores de los usuarios, cuando hay decenas y cientos de miles de víctimas potenciales. Solo el daño potencial en este caso es mucho mayor.
Que mas paso
Un nuevo ataque por canales laterales, basado en SPECTRE: en la práctica se muestra un método de robo de secretos, esta vez con la explotación de un bus que conecta núcleos de procesador separados (los procesadores Intel se ven afectados, AMD tiene una tecnología diferente). Mientras tanto, un exploit para la vulnerabilidad SPECTRE parece haber caído en manos de los ciberdelincuentes.
BleepingComputer describe un ejemplo no estándar de ransomware encriptado, donde sugiere usar el servidor de chat Discord para comunicarse con el atacante.
Descubiertofuga de datos de los servidores de SITA Passenger Services, un contratista de muchas aerolíneas de todo el mundo. Es probable que los datos de viajero frecuente de las alianzas Star Alliance y OneWorld se vean afectados.
Un ejemplo interesante de un ataque a los sistemas de reconocimiento de imágenes mediante el aprendizaje automático. Para confundir el sistema, simplemente coloque un letrero delante del objeto con el nombre de otro elemento. Véase también la discusión sobre Habré .
Lanzamiento del navegador Google Chrome 89: en la próxima versión, la vulnerabilidad de día cero se cierra (el proveedor no reveló detalles).
Interesante descripciónvulnerabilidades en el sistema de autorización de Microsoft. Cuando intenta cambiar la contraseña, se envía un código de autorización a su dispositivo, que debe ingresarse en el sitio. El investigador no encontró ningún problema trivial en este mecanismo que permite ataques de fuerza bruta, pero encontró uno no trivial: enviar múltiples códigos de autorización simultáneamente en un período de tiempo muy corto.
Un accidente reciente en la Fórmula E se atribuyó a un error de software. Si los frenos delanteros fallan, el sistema debe aplicar los frenos en las ruedas traseras. En el caso del piloto Edoardo Mortara, esto no sucedió: el auto eléctrico no encajó en la curva y chocó contra la valla protectora.
Un artículo de Brian Krebs exploramercado negro de extensiones de navegador. Se compran para permitir que los usuarios se unan a una botnet, que luego se utiliza como un servicio VPN ilegal.