4つの積極的に悪用されたExchangeの脆弱性 3月3日。 「郵便危機」の第2週は波乱に富んだものでした。脆弱性を悪用するデモコードがGithubで公開されています。概念実証はすぐに 削除され、Github(およびサービスの所有者であるMicrosoft)が批判されました。いくつかの研究では、1つではなく、少なくとも12の異なるグループによるメールサーバーへの攻撃が一度に報告されました。 3月13日、データの暗号化と恐喝による攻撃に対して、すでに侵害されたサーバーを使用することが知られるようになりました 。同時に、脆弱性の発見者は調査のタイムラインを明らかにしました。明らかに、12月の監査中に主要なExchangeの脆弱性が発見されました。
イベントの開発の詳細なタイムラインは、 ブライアンクレブスのウェブサイトで公開されています。彼によると、ベンダーは、互いに独立して、2つの会社からほぼ同時に脆弱性について通知を受けました。同時に、Volexityは、実際の攻撃の調査の軌跡についてMicrosoftに通知しました。 Devcoreは、昨年10月のExchangeセキュリティ監査での悪用に気付かずに4つの脆弱性のうち2つを発見しました。先週、Devcore はMicrosoftとの独自の相互作用の詳細な年表を公開しました。12月初旬、大晦日にメールサーバーで認証をバイパスする方法を見つけ、サーバーに任意のデータを書き込む際の脆弱性を発見し、シミュレーションを行いました。実用的な攻撃。
1月末に、トレンドマイクロ はメールサーバーをハッキングしてWebシェルを組織し、その後の制御を試みた事例を報告しましたが、攻撃はその時点ですでに閉鎖されていた別の脆弱性と関連付けられています。 2月中旬、MicrosoftはDevcoreに対して、3月9日に予定されているパッチリリース中に脆弱性をクローズする予定であることを発表しました。しかし、最後に、以前にサーバーをハッキングした人は、脆弱な組織の大規模な検索とハッキングの戦術に選択的に移ります。これにより、Microsoftは3月3日火曜日のパッチの6日前にパッチを配布する必要があります。パッチが配布された時点で、攻撃されたメールサーバーの数は数万と推定されていました。
3月12日、Microsoftは、RiskIQを引用して、潜在的に脆弱なサーバーの数の全体的な見積もりを提供します。 3月1日現在、約40万人。 3月9日までに、10万台のサーバーにパッチが適用されず、3月12日までに、サーバーの数は8万2000台に減少しました。同時に、GithubでのPoCの公開により、別のドラマが発生します。パッチがリリースされた後、概念実証がリバースエンジニアリングされるのは時間の問題でした。
Exchangeへの攻撃のコードは、3月10日に公開され、Microsoftが批判の一部を受け取っているGitHubですぐに禁止されています。それは検閲ですか?対抗策として反検閲が投稿を開始 アカウント内のコードのコピー。インターネットがそのように機能しないことは明らかです。かつてインターネットで公開されていたものは、もはや公開できなくなります。しかし、反論もあります。完成したエクスプロイトは、もちろん、「調査」の目的や企業ネットワークをテストするためのスイートの一部として役立ちますが、穴の開いた数十万の組織にとっては、さらに多くのことがもたらされます。問題。彼らは現在、すべての人から攻撃を受けており、セキュリティの問題を解決するためのリソースが最小限である可能性が最も高い企業が配布されています。
この話が十分なダメージを与えていないと感じたら、ここに別のポイントがあります。 研究パロアルトによっては妥協のサーバーにインストールされているWebシェルのいくつかの詳細を提供します。これらの詳細から、ニックネームOrange Tsaiで知られるDevcoreの従業員は、パッチがリリースされる前に、彼が開発したエクスプロイトが実際の攻撃で使用されたと 想定しています。彼は1月初旬にMicrosoftとデモエクスプロイトを非公開で共有しました。彼はどのようにして1つ(または複数)の攻撃グループの手に渡ったのですか?による とメディア、リークはマイクロソフトがパートナーと情報を共有した後に発生しました。このエクスプロイトはほとんど変更されずに運用され、OrangeTsaiが残した「オレンジ」の文字列がその中に縫い付けられていることで識別されます。
さて、結論として、恐喝について話しましょう。サーバーがすでに侵害されており、その所有者がWebシェルの存在を識別できなかった場合、脆弱性を閉じても役に立ちません。元のクラッキンググループによって残された典型的なバックドアは、現在ランサムウェアによって悪用されているようです。アクセスはデータの暗号化に使用され、テキストではDearCryという用語が使用されています。これは2017年のWannaCryランサムウェア攻撃への言及 です。簡単な暫定評決:すべてが非常に悪い。マイクロソフトがパッチをリリースしたのはとても悪いことです サポートされていないバージョンのExchangeServer 2010については、長い間、メール通信の盗難や企業ネットワーク内の他のサーバーのハッキングなどを伴う攻撃の結果についてはまだわかりません。影響を受けた組織の名前はすでに知られるようになっています。その中で、例えば、ノルウェーの 議会。
他に何が起こったのか
BleepingComputerは 、ソーシャルメディアで「暗号通貨の景品」を宣伝する詐欺師のための新しい戦術を報告しています。イーロンマスクを模倣する代わりに、彼らは有料のツイッターメカニズムを通じて簡単な方法で詐欺を宣伝します。
Googleは、Spectreの脆弱性を悪用する調査目的のデモコードを 公開しています。実際の攻撃では、Chrome88ブラウザを介した1キロバイト/秒の速度でのメモリコンテンツの盗難が示されています。
3月9日にリリースされたMicrosoft製品の一連の更新プログラムは 、InternetExplorerのゼロデイ脆弱性に対処します。そしてユーザーは 不平を言うこのセットからの別の更新により、プリンターに何かを印刷しようとすると、Windowsがブルースクリーンにクラッシュします。
上記のツイートのビデオは、 USBキーボードをポートに接続することにより、自動車のマルチメディアシステムでサービス拒否をトリガーする方法を示しています。 F5ネットワークの高性能BIG-IPおよびBIG-IQデバイスの
重大な 脆弱性により、認証メカニズムをバイパスできます。