Es gibt „langsame“ Krisen in der Cybersicherheit, wie potenzielle Angriffe auf den Bootcode auf Smartphones und mobilen Computern - alles, was physischen Zugriff auf Hardware erfordert. Die Tatsache, dass ein solcher Zugriff nicht erforderlich ist, ist auch nicht immer ein Problem, das "gestern" behoben werden muss: Selbst kritische Schwachstellen werden häufig mit vielen Einschränkungen und zusätzlichen Schwierigkeiten auf dem Weg zu wichtigen Daten ausgenutzt. Angriffe auf Microsoft Exchange-Mailserver werden wahrscheinlich zu einem Lehrbuchbeispiel für ein sich schnell entwickelndes und gefährlichstes Problem für potenzielle Opfer.
Vier aktiv ausgenutzte Sicherheitslücken im Austausch wurden aufgedeckt3. März. Die zweite Woche der "Postkrise" war ereignisreich. Auf Github wurde ein Demo-Code veröffentlicht, der Schwachstellen ausnutzt. Proof-of-Concept wurde umgehend entfernt , wofür Github (und Microsoft als Eigentümer des Dienstes) kritisiert wurden. Mehrere Studien berichteten gleichzeitig über einen Angriff nicht einer, sondern mindestens eines Dutzend verschiedener Gruppen auf Mailserver. Am 13. März wurde bekannt, dass bereits kompromittierte Server für Angriffe mit Datenverschlüsselung und Erpressung eingesetzt werden. Gleichzeitig haben die Entdecker der Sicherheitsanfälligkeiten den Zeitplan der Untersuchung geklärt: Anscheinend wurde die wichtigste Exchange-Sicherheitsanfälligkeit bereits im Dezember bei einem Audit entdeckt.
Ein detaillierter Zeitplan der Entwicklung des Ereignisses ist veröffentlicht auf der Website von Brian Krebs. Ihm zufolge wurde der Anbieter von zwei Unternehmen unabhängig voneinander fast gleichzeitig über die Sicherheitslücken informiert. Gleichzeitig informierte Volexity Microsoft über die Untersuchung realer Angriffe. Devcore hat bereits im Oktober letzten Jahres zwei der vier Sicherheitslücken entdeckt, ohne sich ihrer Ausnutzung bei einem Exchange-Sicherheitsaudit bewusst zu sein. Letzte Woche veröffentlichte Devcore eine detaillierte Chronologie seiner eigenen Interaktion mit Microsoft: Anfang Dezember fanden sie eine Möglichkeit, die Authentifizierung auf dem Mailserver zu umgehen. Am Silvesterabend fanden sie eine Sicherheitslücke beim Schreiben beliebiger Daten auf den Server und simulierten diese ein funktionierender Angriff.
Am Ende Januar Trend Micro berichtete Fälle von Hacking - Mail - Server mit der Organisation einer Web - Schale für die nachfolgende Kontrolle über sie, sondern ordnet die Angriffe mit einer anderen Schwachstelle , die zu diesem Zeitpunkt bereits geschlossen war. Mitte Februar gab Microsoft gegenüber Devcore bekannt, dass die Sicherheitslücken während der geplanten Patch-Veröffentlichung, die für den 9. März geplant ist, geschlossen werden sollen. Aber ganz am Ende gehen diejenigen, die zuvor Server gehackt haben, selektiv zur Taktik der groß angelegten Suche und des Hackens gefährdeter Organisationen über. Dies wiederum zwingt Microsoft, sechs Tage vor dem Patch-Dienstag, dem 3. März, Patches zu verteilen. Bereits zum Zeitpunkt der Verteilung der Patches wurde die Anzahl der angegriffenen Mailserver auf Zehntausende geschätzt.
Am 12. März liefert Microsoft unter Berufung auf RiskIQ eine Gesamtschätzung der Anzahl potenziell anfälliger Server. Bis zum 1. März gab es ungefähr 400.000 von ihnen. Bis zum 9. März waren 100.000 Server nicht gepatcht, bis zum 12. März war ihre Anzahl auf 82.000 gesunken. Gleichzeitig entsteht mit der Veröffentlichung von PoC auf Github ein eigenes Drama. Nach der Veröffentlichung des Patches war es nur eine Frage der Zeit, bis der Proof-of-Concept rückentwickelt wurde.
Der Code für den Angriff auf Exchange wird am 10. März veröffentlicht und sofort auf GitHub gesperrt, wofür Microsoft einen Teil der Kritik erhält: Ist es Zensur? Anti-Zensur beginnt Entsendung als Gegenmaßnahme Kopien des Codes in ihren Konten. Es ist klar, dass das Internet nicht so funktioniert: Was einmal darin veröffentlicht wurde, kann nicht mehr veröffentlicht werden. Es gibt aber auch ein Gegenargument: Der fertige Exploit ist natürlich nützlich für "Forschungszwecke" und als Teil einer Suite zum Testen von Unternehmensnetzwerken, aber für Hunderttausende von Organisationen mit einem offenen Loch wird er noch mehr bringen Probleme. Sie werden jetzt von allen angegriffen, und höchstwahrscheinlich sind Unternehmen, die nur über die geringsten Ressourcen verfügen, um Sicherheitsprobleme zu lösen, unter die Verteilung gefallen.
Wenn Sie der Meinung sind, dass diese Geschichte nicht genug Schaden angerichtet hat, ist hier ein weiterer Punkt. Eine Studie von Palo Alto enthält einige Details einer Web-Shell, die auf gefährdeten Servern installiert ist. Aufgrund dieser Details geht ein Devcore-Mitarbeiter, der unter dem Spitznamen Orange Tsai bekannt ist, davon aus, dass der von ihm entwickelte Exploit vor der Veröffentlichung des Patches für echte Angriffe verwendet wurde. Anfang Januar teilte er privat einen Demo-Exploit mit Microsoft. Wie kam er in die Hände einer (oder mehrerer) der angreifenden Gruppen? nach zuBei den Medien trat das Leck auf, nachdem Microsoft Informationen mit Partnern geteilt hatte. Der Exploit wurde nahezu unverändert in Betrieb genommen und ist an der von Orange Tsai hinterlassenen „orangefarbenen“ Schnur zu erkennen.
Lassen Sie uns abschließend über Erpressung sprechen. Das Schließen der Sicherheitsanfälligkeit hilft nicht, wenn der Server bereits kompromittiert wurde und seine Besitzer das Vorhandensein einer Web-Shell nicht erkennen konnten. Es scheint, dass die typische Hintertür, die die ursprünglichen Cracking-Gruppen hinterlassen haben, jetzt von Ransomware ausgenutzt wird. Der Zugriff wird zum Verschlüsseln von Daten verwendet, und der Text verwendet den Begriff DearCry, ein Verweis auf den WannaCry- Ransomware-Angriff 2017. Kurzes Zwischenurteil: Alles ist sehr schlecht. Es ist so schlimm, dass Microsoft einen Patch veröffentlicht hatfür eine lange Zeit nicht unterstützte Version von Exchange Server 2010. Und wir wissen immer noch nicht über die Folgen von Angriffen Bescheid, die wahrscheinlich mit dem Diebstahl von E-Mail-Korrespondenz, dem Hacken anderer Server im Unternehmensnetzwerk usw. einhergingen. Die Namen der betroffenen Organisationen werden bereits bekannt. Darunter zum Beispiel das norwegische Parlament .
Was ist sonst noch passiert?
BleepingComputer meldet eine neue Taktik für Betrüger, die in sozialen Medien für "Kryptowährungs-Werbegeschenke" werben . Anstatt Elon Musk nachzuahmen, bewerben sie den Betrug auf einfache Weise über kostenpflichtige Twitter-Mechanismen.
Google veröffentlicht einen Demo-Code für Forschungszwecke , der die Spectre-Sicherheitsanfälligkeit ausnutzt. Der praktische Angriff zeigt den Diebstahl von Speicherinhalten über den Chrome 88-Browser mit einer Geschwindigkeit von 1 Kilobyte pro Sekunde.
Eine Reihe von Updates für Microsoft-Produkte, die am 9. März veröffentlicht wurden, beheben eine Zero-Day-Sicherheitsanfälligkeit in Internet Explorer. Und Benutzer beschweren sichdass ein anderes Update von diesem Set Windows in einen blauen Bildschirm stürzt, wenn versucht wird, etwas auf dem Drucker zu drucken.
Das Video im obigen Tweet zeigt, wie Sie einen Denial-of-Service im Multimedia-System eines Autos auslösen, indem Sie eine USB-Tastatur an den Anschluss anschließen.
Kritische Schwachstellen in Hochleistungs-BIG-IP- und BIG-IQ-Geräten von F5-Netzwerken ermöglichen die Umgehung des Autorisierungsmechanismus.