Hay crisis "lentas" en la ciberseguridad, como posibles ataques al c贸digo de arranque en tel茅fonos inteligentes y computadoras m贸viles, cualquier cosa que requiera acceso f铆sico al hardware. El hecho de que dicho acceso no sea necesario tampoco es siempre un problema que deba tratarse "ayer": incluso las vulnerabilidades cr铆ticas a menudo se explotan con muchas advertencias y dificultades adicionales en el camino hacia los datos importantes. Es probable que los ataques a los servidores de correo de Microsoft Exchange se conviertan en un ejemplo de libro de texto de un problema de r谩pido desarrollo y m谩s peligroso para las v铆ctimas potenciales.
Cuatro activamente Explotados Cambio de vulnerabilidades Revelado3 de marzo. La segunda semana de la "crisis postal" estuvo llena de acontecimientos. Se ha publicado un c贸digo de demostraci贸n en Github que aprovecha las vulnerabilidades. La prueba de concepto se elimin贸 r谩pidamente , por lo que se critic贸 a Github (y a Microsoft, como propietario del servicio). Varios estudios informaron a la vez de un ataque a los servidores de correo no por uno, sino al menos por una docena de grupos diferentes. El 13 de marzo se conoci贸 sobre el uso de servidores ya comprometidos para ataques con cifrado de datos y extorsi贸n. Al mismo tiempo, los descubridores de las vulnerabilidades aclararon el cronograma de la investigaci贸n: aparentemente, la vulnerabilidad clave de Exchange se descubri贸 durante una auditor铆a en diciembre.
En el sitio web de Brian Krebs se publica una cronolog铆a detallada del desarrollo de los eventos . Seg煤n 茅l, el proveedor fue notificado de las vulnerabilidades casi simult谩neamente por dos empresas, independientemente una de la otra. Al mismo tiempo, Volexity notific贸 a Microsoft sobre la pista de la investigaci贸n de ataques reales. Devcore descubri贸 dos de las cuatro vulnerabilidades sin ser consciente de su explotaci贸n en una auditor铆a de seguridad de Exchange en octubre del a帽o pasado. La semana pasada, Devcore public贸 una cronolog铆a detallada de su propia interacci贸n con Microsoft: a principios de diciembre, encontraron una manera de eludir la autenticaci贸n en el servidor de correo, en la v铆spera de A帽o Nuevo, encontraron una vulnerabilidad al escribir datos arbitrarios en el servidor y as铆 simularon un ataque de trabajo.
A finales de enero, Trend Micro report贸 casos de pirater铆a en servidores de correo con la organizaci贸n de un web shell para su posterior control sobre ellos, pero asocia los ataques con otra vulnerabilidad que ya estaba cerrada en ese momento. A mediados de febrero, Microsoft anunci贸 a Devcore que planea cerrar las vulnerabilidades durante el lanzamiento del parche planificado para el 9 de marzo. Pero al final, aquellos que previamente piratearon servidores recurren selectivamente a las t谩cticas de b煤squeda y pirater铆a a gran escala de organizaciones vulnerables. Esto, a su vez, obliga a Microsoft a distribuir parches seis d铆as antes del martes de parches, el 3 de marzo. Ya en el momento en que se distribuyeron los parches, el n煤mero de servidores de correo atacados se estimaba en decenas de miles.
El 12 de marzo, Microsoft, citando RiskIQ, proporciona una estimaci贸n general del n煤mero de servidores potencialmente vulnerables. Al 1 de marzo, hab铆a alrededor de 400 mil de ellos. Para el 9 de marzo, 100 mil servidores no estaban parcheados, para el 12 de marzo, su n煤mero hab铆a bajado a 82 mil. Al mismo tiempo, surge un drama separado con la publicaci贸n de PoC en Github. Despu茅s de que se lanz贸 el parche, era solo cuesti贸n de tiempo antes de que se hiciera ingenier铆a inversa a la prueba de concepto.
El c贸digo para el ataque a Exchange se publica el 10 de marzo y est谩 inmediatamente prohibido en GitHub, por lo que Microsoft recibe una parte de cr铆ticas: 驴es censura? Los anti-censores comienzan a publicar como contramedida copias del c贸digo en sus cuentas. Est谩 claro que Internet no funciona as铆: lo que una vez se public贸 en 茅l, ya no se podr谩 publicar. Pero tambi茅n hay un contraargumento: el exploit terminado, por supuesto, es 煤til para prop贸sitos de "investigaci贸n" y como parte de una suite para probar redes corporativas, pero para esos cientos de miles de organizaciones con un agujero abierto, traer谩 a煤n m谩s problemas. Ahora est谩n siendo atacados por todo el mundo, y lo m谩s probable es que las empresas que tienen el m铆nimo de recursos para resolver cualquier problema de seguridad hayan ca铆do bajo la distribuci贸n.
Si sientes que esta historia no ha hecho suficiente da帽o, aqu铆 tienes otro punto. Un estudio de Palo Alto proporciona algunos detalles de un shell web instalado en servidores comprometidos. A partir de estos detalles, un empleado de Devcore conocido por el sobrenombre de Orange Tsai supone que el exploit que desarroll贸 se us贸 en ataques reales antes de que se lanzara el parche. Comparti贸 en privado un exploit de demostraci贸n con Microsoft a principios de enero. 驴C贸mo termin贸 en manos de uno (o m谩s) de los grupos atacantes? de acuerdo aLos medios, la filtraci贸n se produjo despu茅s de que Microsoft compartiera informaci贸n con sus socios. El exploit se puso en funcionamiento casi sin cambios, y se identifica por la cuerda "naranja" cosida en 茅l, dejada por Orange Tsai.
Bueno, en conclusi贸n, hablemos de extorsi贸n. Cerrar la vulnerabilidad no ayudar谩 si el servidor ya se ha visto comprometido y sus propietarios no pudieron identificar la presencia de un shell web. Parece que la puerta trasera t铆pica que dejaron los grupos de craqueo originales ahora est谩 siendo explotada por ransomware. El acceso se usa para cifrar datos, y el texto usa el t茅rmino DearCry, una referencia al ataque de ransomware WannaCry de 2017. Breve veredicto provisional: todo est谩 muy mal. Es tan malo que Microsoft haya lanzado un parchepara una versi贸n de Exchange Server 2010 sin soporte desde hace mucho tiempo. Y todav铆a no conocemos las consecuencias de los ataques, que probablemente fueron acompa帽ados de robo de correspondencia, pirater铆a de otros servidores en la red corporativa, etc. Los nombres de las organizaciones afectadas ya se est谩n dando a conocer. Entre ellos, por ejemplo, el parlamento de Noruega .
Que mas paso
BleepingComputer informa sobre una nueva t谩ctica para los estafadores que promocionan "obsequios de criptomonedas" en las redes sociales. En lugar de imitar a Elon Musk, anuncian la estafa de una manera sencilla a trav茅s de los mecanismos de pago de Twitter.
Google publica un c贸digo de demostraci贸n con fines de investigaci贸n que aprovecha la vulnerabilidad de Spectre. El ataque pr谩ctico muestra el robo de contenidos de memoria a trav茅s del navegador Chrome 88 a una velocidad de 1 kilobyte por segundo.
Un conjunto de actualizaciones para productos de Microsoft, lanzado el 9 de marzo, soluciona una vulnerabilidad de d铆a cero en Internet Explorer. Y los usuarios se quejanque otra actualizaci贸n de este conjunto bloquea Windows en una pantalla azul al intentar imprimir algo en la impresora.
El video del tweet anterior muestra c贸mo activar una denegaci贸n de servicio en el sistema multimedia de un autom贸vil conectando un teclado USB al puerto.
Las vulnerabilidades cr铆ticas en dispositivos BIG-IP y BIG-IQ de alto rendimiento de F5 Networks permiten eludir el mecanismo de autorizaci贸n.