Microsoft Exchange апокаліпсис

• Exchange знаходиться під ударом вірусів-вимагачів, після публікації експлойт-коду на GitHub

Щоправда, експлойт вже прибрали, чим викликали хвилю обурення в бік контрольованого Microsoft Гітхабу. Мовляв, от і розпочалася цензура.

Однак, всі, кому треба було, встигли той експлойт скачати, і нова рансомварь, що має назву DEARCRY, поширюється світом з шаленою швидкістю. За деякими оцінками, кількість скомпрометованих Exchange-серверів збільшується удвічі щогодини. Це просто якийсь закон Мура на стероїдах. І нічого дивного, адже в інтернеті все ще світиться понад 46,000 неоновлених серверів MS Exchange. 

Також збільшується кількість APT-груп, що беруть участь в компрометації вразливих серверів. Наразі їх щонайменше десять.

Brian Krebs опублікував таймлайн здійснення масової атаки на сервери Microsoft Exchange.

Брюс Шнайер підготував власний огляд атаки на Microsoft Exchange.

І навіть ми збираємось записати окремий епізод та докладно розібрати подробиці цього безпрецедентного інциденту. Залишайтесь на хвилі й не перемикайте.

Докладно про головне

• США готується завдати удар у відповідь після нещодавнього зламу SolarWinds та низки інших організацій росіянами

Джерела у Білому домі повідомляють, що протягом наступних трьох тижнів США здійснять низку прихованих дій у російських мережах, які будуть очевидні для військового та розвідувального керівництва РФ та особисто Володимира Путіна, але залишаться невидимими для зовнішнього світу. Ці дії буде поєднано із розширенням економічних санкцій, повідомляє New York Times.

Після виходу цього матеріалу 7 березня у кібербезпековій тусовці здійнялася не аби яка хвиля піднесення: ось, нарешті, Джо Байден покладе край бездіяльності Сполучених штатів щодо російського беспрєдєла в інтернеті. Усі, хто хоч трохи знається на кібербезпеці, діляться один з одним та з “простими смертними” своїми прогнозами щодо того, що ж насправді відбудеться, навіщо про це повідомляти заздалегідь, і взагалі – що за гру веде нова адміністрація Білого дому.

Вгадувати кроки американців немає жодного практичного сенсу. Скоріш за все, як і зазвичай, ми нічого не дізнаємось в наступні 5-6 років, після чого подробиці контрольовано “витікуть” з американського уряду або розвідслужб. Така вже у США традиція: робити все максимально тихо й не викликати у своєї цілі жодних підозр, аж допоки не стане пізно.

Єдине що дійсно цікаво, так це те, чому заплановані дії було анонсовано, чому саме зараз, і чому в анонсі фігурує термін “три тижні”. Всьому світу давно відомо, що американці по пояс сидять в російській критичній інфраструктурі й готові вимкнути світло чи закрутити газову трубу в будь-який момент. Але навіщо ці середньовічні “іду на ви” у стилі київських князів?

Ми можемо лише здогадуватись. Зроблю припущення, що в теперішнього господаря Білого дому є непогані радники з бекграундом в поведінковій психології. Які порадили аналітикам з кібербезпеки та керівникам розвідки запозичити для цієї інформаційної операції сюжет фільму жахів “Дзвінок”. І якщо інтуїція мене не підводить, то так зване “прикручування швидкості Твіттера”, про яке заявив днями Роскомнадзор, та через яке ймовірно вляглися сайти Президента та низки державних агенцій РФ, – це не дуже вдалі випробування заходів безпеки проти зовнішнього втручання у справи Чебурашки… вибачте, суверенного російського інтернету.

• Поліція обшукала квартиру хакера, що отримав доступ до 150000 камер для розпізнавання облич встановлених в Tesla, Cloudflare та інших компаніях

На початку тижня група хакерів отримала доступ до камер спостереження, встановлених у Tesla, Equinox, закладах охорони здоров’я, школах, тюрмах та банках. Проникнення відбулося через доступ до систем спостереження виробництва фірми Verkada, які до того ж мають функціональність розпізнавання облич. Зробити це було не легко, а дуже легко: підібравши пароль суперкористувача, який виявився тим самим в усіх вразливих системах. 

Відповідальність за злам взяв на себе Tillie Kottman, хакер зі Сполучених Штатів. Він виклав у мережу докази успішності проникнення: на додачу до зображень, отриманих з відеокамер, хакер поділився знімками екрану, що підтверджують можливість отримати адміністративний доступ до термінала системи відеоспостереження з “стандартним” паролем.

Наприкінці тижня у помешкання Тіллі завітали поліціянти з ордером на обшук, виданим на запит Міністерства Юстиції. І не дивно, бо своїми діями він порушив цілу низку законів декількох країн. Адже системи відеоспостереження, до яких він отримав доступ, розташовані по всьому світу.

Тіллі пояснює свої дії прагненням продемонструвати суспільству масштаби втручання комерційних компаній у приватність фізичних осіб. Але факти змушують нас засумніватися у його справжніх мотивах. Коли хакери хочуть навести лад з кібербезпекою у важливих системах, вони повідомляють про знайдені в них вразливості. Коли активісти хочуть звернути увагу суспільства на зловживання мегакорпорацій, вони приватно діляться доказами з незалежними журналістами. І лише коли хакери хочуть слави, вони вивалюють всі свої знахідки в інтернет та зізнаються у всьому публічно. Щоправда, така слава триває недовго.

• Пожежа в страсбурзькому дата-центрі хмарного провайдера OVH вкотре підіймає питання резервного копіювання даних

OVH це найбільший хостинг-провайдер в Європі, який приваблює користувачів простою панеллю керування та демократичними цінами. Як і в будь-якому low cost хостингу, резервне копіювання в OVH зводиться до регулярного створення снепшотів віртуальних машин. Але така стратегія виявляється неефективною, коли цілий центр обробки даних зникає в полум’ї безпрецедентної пожежі, викликаної збоєм в роботі джерела безперебійного живлення.

Business Continuity Plan (або BCP) це нудно, але його треба робити. Інакше, залишитесь без даних, і будете про це дуже шкодувати. Якщо вам не вистачає грошей на регіонально розподілений сетап в топовій хмарі типу AWS, Azure або GCP, напружтесь та організуйте регулярне резервне копіювання на “наземний” носій. Повірте, ви про це не пошкодуєте, та ще й нам подякуєте.

Коротко про важливе

• Правоохоронні агентства Бельгії та Нідерландів закрили компанію Sky ECC, що надавала платформу для безпечних комунікацій кримінальним угрупуванням 

Правоохоронні органи обох країн заявили, що оперативники проникли на платформу в середині лютого 2021 року і зуміли перехопити повідомлення, якими злочинці обмінювалися через сервери компанії.
Чиновники заявили, що використовували доступ, отриманий минулого місяця, для збору інформації про клієнтів Sky ECC та запобігання їхнім злочинам, таким як викрадення людей та вбивства.

• В атаках на ланцюг постачання продуктів SolarWinds виявили діяльність китайського угрупування

Компанія Secureworks у своєму звіті заявила, що її дослідники виявили зв’язок між шкідливим програмним забезпеченням SUPERNOVA, використаним проти SolarWinds, та атаками, здійсненими в серпні минулого року на сервери Zoho ManageEngine. Secureworks деякий час відстежує цього агента загроз під кодовою назвою Spiral, та стверджує, що характеристики діяльності групи свідчать про її розташування в Китаї.

• Сайт Президента України не працював 11 березня “через збій”

Що дивно збіглося у часі з чутками в Facebook про незахищену форму пошуку на цьому сайті та згадування у його шаблоні сторінки “404 Not found” п’ятого Президента України Петра Порошенка.

• Криптовалютний обмінник Sovryn запустив рекордну програму Bug Bounty 

Бюджет програми складає $1,250,000, а максимальна анонсована виплата – $22,000. Звісно, що окремі критичні вразливості можуть не вписуватися у тарифну сітку.

• SANS ніби натякає нам, що дефіцит кваліфікованого персоналу в галузі кібербезпеки досяг позначки 3,5 млн робочих місць

Кілька років тому прогнози коливалися від 1,8 до 2 мільйонів у 2020 році. У 2021-му це число збільшилося у понад півтора раза.

• В Конгресі Сполучених штатів розглянуть законопроєкт про приватність даних громадян

Штати занадто довго забивали на приватність на федеральному рівні. Цілком можливо, що найближчим часом це зміниться і світ побачить американську версію GDPR.

Вразливості тижня

• GitHub виправив вразливість, яка могла стати причиною помилкового доступу користувачів до чужих автентифікованих сесій

Усіх користувачів GitHub 8 березня було примусово деавтентифіковано, щоб убезпечити платформу від можливих негативних наслідків. Причиною вразливості був Race Condition, який призводив до того, що в одночасно ініційованих запитах до сервера його відповіді могли надходити “не тим” клієнтам.

• Git Project виправив критичну вразливість віддаленого виконання коду

Вразливість з кодом CVE-2021-21300 була знайдена в декількох версіях цієї системи управління вихідним кодом та дозволяла зловмисному віддаленому репозиторію виконувати довільний код під час операції клонування. Дуже цікава вразливість, але працює лише на файлових системах, чутливих до регістра символів, та ще й вимагає увімкнення додаткового функціонала.

• Microsoft випустив низку виправлень безпеки Edge, Office та Azure

Березневий Patch Tuesday містить 89 фіксів, з яких 14 виправляють критичні вразливості, що можуть призвести до віддаленого виконання коду.

• Дослідники безпеки знайшли низку недоліків у сервісі “Find my” фірми Apple

Атака націлена на функцію Offline Finding, яка дозволяє пристроям Apple розпізнавати “сусідів” по протоколу BLE, та звітувати власникам про їхнє знаходження через інтернет.

Команда дослідників продемонструвала, що зловмисник може отримати доступ до звітів про геолокацію пристроїв, що дозволяє відстежувати улюблені місця користувачів з точністю до 10 метрів.

• Netgear виправив критичну вразливість віддаленого виконання коду у маршрутизаторах ProSAFE Plus

Організаціям, що використовують моделі JGS516PE та GS116Ev2, треба оновити свої системи. Дослідники безпеки з NCC Group виявили понад 15 вразливостей у прошивках цих пристроїв.

• F5 випустив виправлення для низки критичних вразливостей у фаєрволах BIG-IP

Найгіршими є CVE-2021-22986 та CVE-2021-22987, яким призначено рівень критичності CVSS 9.8 та 9.9 відповідно. Перша – це вразливість віддаленого виконання коду, яка не вимагає автентифікації. Друга дозволяє автентифікованим користувачам виконувати довільні команди, змінювати файли та вимикати сервіси.

Рекомендації

• OWASP Kyiv оприлюднив відеозаписи виступів своєї зустрічі 27 лютого 

Доповіді будуть цікаві як початківцям, так і досвідченим спеціалістам з захисту програмного забезпечення.

• Неймовірно захопливий матеріал на Wired, з якого ви дізнаєтесь про фактори глобальної популярності онлайн-гри Among Us та чому ваші друзі можуть викинути вас зі шлюзу космічного корабля.

Tools & Writeups

• Google, Linux Foundation та Red Hat анонсували безплатний інструмент безпеки ланцюга постачання програмної розробки Sigstore

Цей новий продукт забезпечить інфраструктуру цифрових підписів релізів програмного забезпечення, контейнерів та бінарних файлів. Підписи зберігатимуться в публічних та прозорих журналах, що робить цей проєкт дуже схожим на Let’s Encrypt для програмної розробки. Ну що ж, побажаємо йому стати так само успішним.

Статті та аналітика

• Китайські університети, що пов’язані з діяльністю APT-груп, займаються дослідженнями у сфері штучного інтелекту в кібербезпеці

Щонайменше шість китайських вишів, які раніше були помічені в співпраці зі спецслужбами та хакерськими групами, досліджують способи застосування штучного інтелекту та машинного навчання в галузі кібербезпеки. Про це йдеться в статті “Academics, AI, and APTs” Центру безпеки та новітніх технологій Джорджтаунського університету в США.

Смі#$%oчки

• Ланцюг твітів про те, що ви можете сказати під час сексу та у звіті з оцінки захищеності.

Рекомендується для прочитання усіма редтімерами. Ось кілька прикладів:

• Ми знайшли потенційні точки входу, але не змогли увійти.
• Сценарій Man-in-the-Middle вимагатиме залучення додаткових експертів.
• Якщо ви мені не заплатите, я оприлюдню ці фото.
• Це поза скоупом.
• Я приймаю ризик.