Microsoft Exchange апокаліпсис

Щоправда, експлойт вже прибрали, чим викликали хвилю обурення в бік контрольованого Microsoft Гітхабу. Мовляв, от і розпочалася цензура.

Однак, всі, кому треба було, встигли той експлойт скачати, і нова рансомварь, що має назву DEARCRY, поширюється світом з шаленою швидкістю. За деякими оцінками, кількість скомпрометованих Exchange-серверів збільшується удвічі щогодини. Це просто якийсь закон Мура на стероїдах. І нічого дивного, адже в інтернеті все ще світиться понад 46,000 неоновлених серверів MS Exchange

Також збільшується кількість APT-груп, що беруть участь в компрометації вразливих серверів. Наразі їх щонайменше десять.

Brian Krebs опублікував таймлайн здійснення масової атаки на сервери Microsoft Exchange.

Брюс Шнайер підготував власний огляд атаки на Microsoft Exchange.

І навіть ми збираємось записати окремий епізод та докладно розібрати подробиці цього безпрецедентного інциденту. Залишайтесь на хвилі й не перемикайте.

Докладно про головне

Джерела у Білому домі повідомляють, що протягом наступних трьох тижнів США здійснять низку прихованих дій у російських мережах, які будуть очевидні для військового та розвідувального керівництва РФ та особисто Володимира Путіна, але залишаться невидимими для зовнішнього світу. Ці дії буде поєднано із розширенням економічних санкцій, повідомляє New York Times.

Після виходу цього матеріалу 7 березня у кібербезпековій тусовці здійнялася не аби яка хвиля піднесення: ось, нарешті, Джо Байден покладе край бездіяльності Сполучених штатів щодо російського беспрєдєла в інтернеті. Усі, хто хоч трохи знається на кібербезпеці, діляться один з одним та з “простими смертними” своїми прогнозами щодо того, що ж насправді відбудеться, навіщо про це повідомляти заздалегідь, і взагалі – що за гру веде нова адміністрація Білого дому.

Вгадувати кроки американців немає жодного практичного сенсу. Скоріш за все, як і зазвичай, ми нічого не дізнаємось в наступні 5-6 років, після чого подробиці контрольовано “витікуть” з американського уряду або розвідслужб. Така вже у США традиція: робити все максимально тихо й не викликати у своєї цілі жодних підозр, аж допоки не стане пізно.

Єдине що дійсно цікаво, так це те, чому заплановані дії було анонсовано, чому саме зараз, і чому в анонсі фігурує термін “три тижні”. Всьому світу давно відомо, що американці по пояс сидять в російській критичній інфраструктурі й готові вимкнути світло чи закрутити газову трубу в будь-який момент. Але навіщо ці середньовічні “іду на ви” у стилі київських князів?

Ми можемо лише здогадуватись. Зроблю припущення, що в теперішнього господаря Білого дому є непогані радники з бекграундом в поведінковій психології. Які порадили аналітикам з кібербезпеки та керівникам розвідки запозичити для цієї інформаційної операції сюжет фільму жахів “Дзвінок”. І якщо інтуїція мене не підводить, то так зване “прикручування швидкості Твіттера”, про яке заявив днями Роскомнадзор, та через яке ймовірно вляглися сайти Президента та низки державних агенцій РФ, – це не дуже вдалі випробування заходів безпеки проти зовнішнього втручання у справи Чебурашки… вибачте, суверенного російського інтернету.

На початку тижня група хакерів отримала доступ до камер спостереження, встановлених у Tesla, Equinox, закладах охорони здоров’я, школах, тюрмах та банках. Проникнення відбулося через доступ до систем спостереження виробництва фірми Verkada, які до того ж мають функціональність розпізнавання облич. Зробити це було не легко, а дуже легко: підібравши пароль суперкористувача, який виявився тим самим в усіх вразливих системах. 

Відповідальність за злам взяв на себе Tillie Kottman, хакер зі Сполучених Штатів. Він виклав у мережу докази успішності проникнення: на додачу до зображень, отриманих з відеокамер, хакер поділився знімками екрану, що підтверджують можливість отримати адміністративний доступ до термінала системи відеоспостереження з “стандартним” паролем.

Наприкінці тижня у помешкання Тіллі завітали поліціянти з ордером на обшук, виданим на запит Міністерства Юстиції. І не дивно, бо своїми діями він порушив цілу низку законів декількох країн. Адже системи відеоспостереження, до яких він отримав доступ, розташовані по всьому світу.

Тіллі пояснює свої дії прагненням продемонструвати суспільству масштаби втручання комерційних компаній у приватність фізичних осіб. Але факти змушують нас засумніватися у його справжніх мотивах. Коли хакери хочуть навести лад з кібербезпекою у важливих системах, вони повідомляють про знайдені в них вразливості. Коли активісти хочуть звернути увагу суспільства на зловживання мегакорпорацій, вони приватно діляться доказами з незалежними журналістами. І лише коли хакери хочуть слави, вони вивалюють всі свої знахідки в інтернет та зізнаються у всьому публічно. Щоправда, така слава триває недовго.

  • Пожежа в страсбурзькому дата-центрі хмарного провайдера OVH вкотре підіймає питання резервного копіювання даних

OVH це найбільший хостинг-провайдер в Європі, який приваблює користувачів простою панеллю керування та демократичними цінами. Як і в будь-якому low cost хостингу, резервне копіювання в OVH зводиться до регулярного створення снепшотів віртуальних машин. Але така стратегія виявляється неефективною, коли цілий центр обробки даних зникає в полум’ї безпрецедентної пожежі, викликаної збоєм в роботі джерела безперебійного живлення.

Business Continuity Plan (або BCP) це нудно, але його треба робити. Інакше, залишитесь без даних, і будете про це дуже шкодувати. Якщо вам не вистачає грошей на регіонально розподілений сетап в топовій хмарі типу AWS, Azure або GCP, напружтесь та організуйте регулярне резервне копіювання на “наземний” носій. Повірте, ви про це не пошкодуєте, та ще й нам подякуєте.

Коротко про важливе

Правоохоронні органи обох країн заявили, що оперативники проникли на платформу в середині лютого 2021 року і зуміли перехопити повідомлення, якими злочинці обмінювалися через сервери компанії.
Чиновники заявили, що використовували доступ, отриманий минулого місяця, для збору інформації про клієнтів Sky ECC та запобігання їхнім злочинам, таким як викрадення людей та вбивства.

Компанія Secureworks у своєму звіті заявила, що її дослідники виявили зв’язок між шкідливим програмним забезпеченням SUPERNOVA, використаним проти SolarWinds, та атаками, здійсненими в серпні минулого року на сервери Zoho ManageEngine. Secureworks деякий час відстежує цього агента загроз під кодовою назвою Spiral, та стверджує, що характеристики діяльності групи свідчать про її розташування в Китаї.

Що дивно збіглося у часі з чутками в Facebook про незахищену форму пошуку на цьому сайті та згадування у його шаблоні сторінки “404 Not found” п’ятого Президента України Петра Порошенка.

Бюджет програми складає $1,250,000, а максимальна анонсована виплата – $22,000. Звісно, що окремі критичні вразливості можуть не вписуватися у тарифну сітку.

  • SANS ніби натякає нам, що дефіцит кваліфікованого персоналу в галузі кібербезпеки досяг позначки 3,5 млн робочих місць

Кілька років тому прогнози коливалися від 1,8 до 2 мільйонів у 2020 році. У 2021-му це число збільшилося у понад півтора раза.

Штати занадто довго забивали на приватність на федеральному рівні. Цілком можливо, що найближчим часом це зміниться і світ побачить американську версію GDPR.

Вразливості тижня

Усіх користувачів GitHub 8 березня було примусово деавтентифіковано, щоб убезпечити платформу від можливих негативних наслідків. Причиною вразливості був Race Condition, який призводив до того, що в одночасно ініційованих запитах до сервера його відповіді могли надходити “не тим” клієнтам.

Вразливість з кодом CVE-2021-21300 була знайдена в декількох версіях цієї системи управління вихідним кодом та дозволяла зловмисному віддаленому репозиторію виконувати довільний код під час операції клонування. Дуже цікава вразливість, але працює лише на файлових системах, чутливих до регістра символів, та ще й вимагає увімкнення додаткового функціонала.

Березневий Patch Tuesday містить 89 фіксів, з яких 14 виправляють критичні вразливості, що можуть призвести до віддаленого виконання коду.

Атака націлена на функцію Offline Finding, яка дозволяє пристроям Apple розпізнавати “сусідів” по протоколу BLE, та звітувати власникам про їхнє знаходження через інтернет.

Команда дослідників продемонструвала, що зловмисник може отримати доступ до звітів про геолокацію пристроїв, що дозволяє відстежувати улюблені місця користувачів з точністю до 10 метрів.

Організаціям, що використовують моделі JGS516PE та GS116Ev2, треба оновити свої системи. Дослідники безпеки з NCC Group виявили понад 15 вразливостей у прошивках цих пристроїв.

Найгіршими є CVE-2021-22986 та CVE-2021-22987, яким призначено рівень критичності CVSS 9.8 та 9.9 відповідно. Перша – це вразливість віддаленого виконання коду, яка не вимагає автентифікації. Друга дозволяє автентифікованим користувачам виконувати довільні команди, змінювати файли та вимикати сервіси.

Рекомендації

Доповіді будуть цікаві як початківцям, так і досвідченим спеціалістам з захисту програмного забезпечення.

Tools & Writeups

Цей новий продукт забезпечить інфраструктуру цифрових підписів релізів програмного забезпечення, контейнерів та бінарних файлів. Підписи зберігатимуться в публічних та прозорих журналах, що робить цей проєкт дуже схожим на Let’s Encrypt для програмної розробки. Ну що ж, побажаємо йому стати так само успішним.

Статті та аналітика

Щонайменше шість китайських вишів, які раніше були помічені в співпраці зі спецслужбами та хакерськими групами, досліджують способи застосування штучного інтелекту та машинного навчання в галузі кібербезпеки. Про це йдеться в статті “Academics, AI, and APTs” Центру безпеки та новітніх технологій Джорджтаунського університету в США.

Смі#$%oчки

  • Ланцюг твітів про те, що ви можете сказати під час сексу та у звіті з оцінки захищеності.

Рекомендується для прочитання усіма редтімерами. Ось кілька прикладів:

  • Ми знайшли потенційні точки входу, але не змогли увійти.
  • Сценарій Man-in-the-Middle вимагатиме залучення додаткових експертів.
  • Якщо ви мені не заплатите, я оприлюдню ці фото.
  • Це поза скоупом.
  • Я приймаю ризик.