Die Angriffe auf anfällige Server haben erst seit der Veröffentlichung von Updates zum Schließen der Sicherheitsanfälligkeiten zugenommen. Microsoft schreibt den ursprünglichen Angriff der Hafnium-Gruppe chinesischer Herkunft zu, und (Stand: 2. März) gibt es keine Beispiele für die Ausnutzung von Sicherheitslücken durch andere. Ungepatchte Server werden höchstwahrscheinlich lange Zeit von allen angegriffen. Ein separates Problem ist die Installation einer Hintertür nach dem Hacken von Servern: Patches können den anfänglichen Einstiegspunkt schließen, helfen jedoch nicht bereits angegriffenen Organisationen. Die Dinge sind so schlecht, dass Microsoft Exchange-Serverbetreibern davon ausgehen sollte, dass sie bereits kompromittiert wurden.
Informationsquellen:
Laut Volexity wurden Anfang Januar dieses Jahres die ersten Angriffe auf Microsoft Exchange-Mailserver entdeckt. Weitere Untersuchungen ergaben vier Sicherheitslücken, von denen eine ( CVE-2021-26855 ) bereits ausreicht, um ernsthafte Schäden zu verursachen. Die Sicherheitsanfälligkeit gehört zur Klasse "Server-Side Request Forgery" und kann das Autorisierungssystem auf dem Server umgehen. Mit seiner Hilfe haben die Angreifer den Inhalt von Postfächern erfolgreich entladen. Sicherheitslücken betreffen Versionen von Microsoft Exchange Server 2013, 2016 und 2019, die alle vom Anbieter unterstützt werden.
Mit drei weiteren Sicherheitslücken können Sie auf unterschiedliche Weise im System Fuß fassen. Insbesondere die Sicherheitsanfälligkeit CVE-2021-27065Ermöglicht einem autorisierten Benutzer, jede Datei auf dem Server zu überschreiben. In Kombination mit einer Bypass-Autorisierung wurde diese Sicherheitsanfälligkeit verwendet, um eine Web-Shell für die spätere Kontrolle des gefährdeten Servers zu öffnen. Die Ausnutzung von zwei Sicherheitslücken wird in diesem Video des DEVCORE-Teams gezeigt (weitere Informationen finden Sie auf der Website ):
Die Aufdeckung von Schwachstellen und aktiven Angriffen war nur der Anfang der Geschichte: Es scheint, dass wir dieses Jahr alles darüber diskutieren werden. Der Angriff erhöht die Kosten für die Sicherung lokaler Dienste erheblich und wird wahrscheinlich noch mehr Unternehmen dazu zwingen, in die Cloud zu wechseln, in der der Anbieter für die Sicherheit verantwortlich ist. Hier geht es nicht nur um die rechtzeitige Installation von Patches (obwohl es auch hier Probleme gibt), sondern auch um das Schließen der bereits installierten Backdoors.
Natürlich müssen Sie erweiterte Schutzfunktionen verwenden. Die ersten Angriffe wurden nur aufgrund der Erkennung von ungewöhnlich großem Datenverkehr in einer nicht standardmäßigen Richtung erkannt, und aus Sicht des Mailservers passierte nichts Ungewöhnliches... Erkennung des Starts von verdächtigem Code durch einen vertrauenswürdigen Prozess, Schutz vor Dateimodifikationen, auch beim Versuch, diese zu verschlüsseln - all dies ist im Falle eines Angriffs auf anfällige Software erforderlich. Wenn vorläufige Schätzungen der Anzahl der angegriffenen Organisationen korrekt sind, kann die Situation mit der Entdeckung einer Lücke in Benutzerroutern verglichen werden, wenn Zehntausende von potenziellen Opfern vorhanden sind. Nur der potenzielle Schaden ist in diesem Fall viel höher.
Was ist sonst noch passiert?
Ein neuer Angriff über Seitenkanäle, basierend auf SPECTER: In der Praxis wird eine Methode zum Stehlen von Geheimnissen gezeigt , diesmal unter Ausnutzung eines Busses, der separate Prozessorkerne verbindet (Intel-Prozessoren sind betroffen, AMD verfügt über eine andere Technologie). In der Zwischenzeit scheint der Exploit für die SPECTER-Sicherheitslücke in die Hände von Cyberkriminellen gefallen zu sein.
BleepingComputer beschreibt ein nicht standardmäßiges Beispiel für verschlüsselte Ransomware, bei dem vorgeschlagen wird, den Discord-Chat-Server für die Kommunikation mit dem Angreifer zu verwenden.
EntdecktDatenverlust von den Servern von SITA Passenger Services - einem Auftragnehmer vieler Fluggesellschaften auf der ganzen Welt. Die Vielfliegerdaten der Star Alliance- und OneWorld-Allianzen sind wahrscheinlich betroffen.
Ein interessantes Beispiel für einen Angriff auf Bilderkennungssysteme mit maschinellem Lernen. Um das System zu verwirren, setzen Sie einfach ein Schild mit dem Namen eines anderen Elements vor das Objekt. Siehe auch die Diskussion über Habré .
Veröffentlichter Google Chrome 89-Browser: In der nächsten Version wird die Zero-Day-Sicherheitsanfälligkeit geschlossen (der Anbieter hat keine Details bekannt gegeben).
Interessante BeschreibungSchwachstellen im Microsoft-Autorisierungssystem. Wenn Sie versuchen, das Kennwort zu ändern, wird ein Autorisierungscode an Ihr Gerät gesendet, der auf der Site eingegeben werden muss. Der Forscher fand keine trivialen Probleme in diesem Mechanismus, die Brute-Force-Brute-Force-Angriffe ermöglichen, fand jedoch ein nicht triviales: Senden mehrerer Autorisierungscodes gleichzeitig innerhalb kürzester Zeit.
Ein kürzlich aufgetretener Formel-E-Absturz wurde auf einen Softwarefehler zurückgeführt. Wenn die Vorderradbremsen ausfallen, muss das System die Bremsen an den Hinterrädern betätigen. Beim Piloten Edoardo Mortara ist dies nicht geschehen: Das Elektroauto passte nicht in die Kurve und fuhr in den Schutzzaun.
Ein Artikel von Brian Krebs untersuchtSchwarzmarkt für Browser-Erweiterungen. Sie werden gekauft, damit Benutzer einem Botnetz beitreten können, das dann als illegaler VPN-Dienst verwendet wird.