В кибербезопасности существуют «медленные» кризисы, такие как, например, потенциальные атаки на загрузочный код в смартфонах и мобильных компьютерах — все, что требует физического доступа к железу. То, что в таком доступе не нуждается, тоже не всегда представляет проблему, с которой надо разбираться «вчера»: даже критические уязвимости часто эксплуатируются со множеством оговорок и дополнительных трудностей на пути к важным данным. Атаки на почтовые серверы Microsoft Exchange, судя по всему, станут хрестоматийным примером быстро развивающейся и максимально опасной проблемы для потенциальных жертв.
Данные о четырех активно эксплуатируемых уязвимостях в Exchange были 3 марта. Вторая неделя «почтового кризиса» была богатой на события. На Github был опубликован демонстрационный код, эксплуатирующий уязвимости. Proof-of-Concept был оперативно , за что Github (и Microsoft, как владелец сервиса) подвергся критике. Сразу несколько исследований сообщили об атаке на почтовые серверы со стороны не одной, а как минимум десятка различных группировок. 13 марта стало известно об уже взломанных серверов для атак с шифрованием данных и вымогательством. Заодно первооткрыватели уязвимостей уточнили таймлайн расследования: судя по всему, ключевая уязвимость Exchange была обнаружена в ходе аудита еще в декабре.
Подробный таймлайн развития событий на сайте Брайана Кребса. Согласно ему, вендор был уведомлен об уязвимостях практически одновременно двумя компаниями, независимо друг от друга. При этом компания Volexity уведомила Microsoft по следам расследования реальных атак. Компания Devcore обнаружила две из четырех уязвимостей, не зная об их эксплуатации, предприняв аудит безопасности Exchange еще в октябре прошлого года. На прошлой неделе Devcore подробную хронологию собственного взаимодействия с Microsoft: в начале декабря они нашли способ обхода аутентификации на почтовом сервере, в канун Нового года нашли уязвимость записи произвольных данных на сервер и таким образом смоделировали работающую атаку.
В конце января компания Trend Micro о случаях взлома почтовых серверов с организацией веб-шелла для последующего контроля над ними, но связывает атаки с другой, уже закрытой на тот момент уязвимостью. В середине февраля Microsoft сообщает Devcore, что планирует закрыть уязвимости в ходе планового релиза патчей, намеченного на 9 марта. Но в самом конце те, кто до этого взламывал серверы выборочно, переходят к тактике масштабного поиска и взлома уязвимых организаций. Это, в свою очередь, вынуждает Microsoft распространить патчи за шесть дней до Patch Tuesday, 3 марта. Уже на момент распространения патчей количество атакованных почтовых серверов оценивалось в десятки тысяч.
12 марта Microsoft со ссылкой на RiskIQ приводит общую оценку количества потенциально уязвимых серверов. На первое марта таких насчитывалось около 400 тысяч. К 9 марта 100 тысяч серверов были не пропатчены, к 12 марта их число снизилось до 82 тысяч. В это же время возникает отдельная драма с публикацией PoC на Github. После выпуска патча изготовление proof-of-concept путем реверс-инжиринга было вопросом времени.
Код для атаки на Exchange публикуется 10 марта, тут же банится на GitHub, за что Microsoft получает порцию критики: это что же, цензура получается? В качестве контрмеры борцы с цензурой начинают копии кода в своих аккаунтах. Понятно, что Интернет так не работает: то, что однажды было в нем опубликовано, распубликовать уже не получится. Но есть и контраргумент: готовый эксплойт, конечно, полезен в «исследовательских» целях и как часть набора для тестирования корпоративных сетей, но для той сотни тысяч организаций с незакрытой дырой он принесет еще больше проблем. Их теперь атакуют вообще все желающие, и скорее всего под раздачу попали компании, имеющие самый минимум ресурсов для решения любых проблем с безопасностью.
Если вам кажется, что эта история нанесла недостаточно ущерба, вот еще один момент. В компании Palo Alto приводятся некоторые детали веб-шелла, устанавливаемого на взломанные серверы. По этим деталям сотрудник Devcore, известный под ником Orange Tsai, делает , что разработанный им эксплойт использовался в реальных атаках до выпуска патча. Демоэксплойтом он приватно поделился с Microsoft в начале января. Как тот оказался в руках одной (или нескольких) групп, производящих атаки? По СМИ, утечка произошла после того, как Microsoft поделилась информацией с партнерами. Эксплойт пустили в работу почти без изменений, и он идентифицируется по вшитой в него строке «orange», оставленной Orange Tsai.
Ну и в заключение поговорим про вымогательство. Закрытие уязвимости не поможет, если сервер уже был взломан, а его владельцы не смогли выявить наличие веб-шелла. Судя по всему, типовой бэкдор, оставленный первоначальными группами взломщиков, теперь эксплуатируется вымогателями. Доступ используется для шифрования данных, причем в тексте используется термин DearCry, отсылка к ransomware-атаке 2017 года. Краткий промежуточный вердикт: все очень плохо. Настолько плохо, что Microsoft выпустила для уже давно не поддерживаемой версии Exchange Server 2010. И это мы еще не знаем о последствиях атак, которые наверняка сопровождались кражей почтовой переписки, взломом иных серверов в корпоративной сети и прочим. Уже сейчас становятся известны имена пострадавших организаций. Среди них, например, .
Что еще произошло
BleepingComputer о новой тактике мошенников, рекламирующих «раздачу криптовалюты» в соцсетях. Вместо того чтобы мимикрировать под Илона Маска, они прямолинейно рекламируют скам через платные механизмы Twitter.
Google в исследовательских целях демокод, эксплуатирующий уязвимость Spectre. В практической атаке показана кража содержимого памяти через браузер Chrome 88 со скоростью 1 килобайт в секунду.
Набор обновлений для продуктов Microsoft, выпущенный 9 марта, zero-day уязвимость в Internet Explorer. А пользователи , что другой апдейт из этого набора роняет Windows в синий экран при попытке напечатать что-нибудь на принтере.
Видео в выше показывает, как вызвать отказ в обслуживании в мультимедийной системе автомобиля, подключив к порту USB-клавиатуру.
Критические в высокопроизводительных сетевых устройствах BIG-IP и BIG-IQ компании F5 Networks позволяют обойти механизм авторизации.
