Les attaques contre les serveurs vulnérables n'ont fait que s'intensifier depuis la publication des mises à jour pour fermer les vulnérabilités. Microsoft attribue l'attaque d'origine au groupe Hafnium d'origine chinoise et (au 2 mars) il n'y a aucun exemple d'exploitation de vulnérabilités par qui que ce soit d'autre. Très probablement, les serveurs non corrigés seront attaqués par tout le monde pendant longtemps. Un problème distinct est l'installation d'une porte dérobée après le piratage des serveurs: les correctifs peuvent fermer le point d'entrée initial, mais ils n'aideront pas les organisations déjà attaquées. Les choses vont si mal qu'il est conseillé aux opérateurs de serveurs Microsoft Exchange de supposer qu'ils ont déjà été compromis.
Sources d'information:
Selon Volexity, les premières attaques contre les serveurs de messagerie Microsoft Exchange ont été découvertes début janvier de cette année. Une enquête plus approfondie a révélé quatre vulnérabilités, dont l'une ( CVE-2021-26855 ) est déjà suffisante pour causer de graves dommages. La vulnérabilité appartient à la classe Server-Side Request Forgery et pourrait contourner le système d'autorisation sur le serveur. Avec son aide, les attaquants ont réussi à décharger le contenu des boîtes aux lettres. Les vulnérabilités affectent les versions de Microsoft Exchange Server 2013, 2016 et 2019, c'est-à-dire toutes prises en charge par le fournisseur.
Trois autres vulnérabilités vous permettent de prendre pied dans le système de différentes manières. En particulier, la vulnérabilité CVE-2021-27065permet à un utilisateur autorisé d'écraser n'importe quel fichier sur le serveur. En combinaison avec une autorisation de contournement, cette vulnérabilité a été utilisée pour ouvrir un shell Web pour le contrôle ultérieur du serveur compromis. L'exploitation de deux vulnérabilités est montrée dans cette vidéo de l'équipe DEVCORE (voir leur site internet pour plus d'informations ):
La divulgation des vulnérabilités et des attaques actives n'était que le début de l'histoire: il semble que nous en discuterons toute cette année. L'attaque augmente considérablement le coût de la sécurisation des services sur site et est susceptible de forcer encore plus d'entreprises à passer au cloud, où le fournisseur est responsable de la sécurité. Il ne s'agit pas seulement de l'installation en temps opportun des correctifs (bien que même avec cela, il y ait des problèmes), mais aussi de fermer les portes dérobées déjà installées.
De toute évidence, vous devez utiliser des protections avancées. Les premières attaques n'ont été détectées qu'en raison de la détection d'un trafic anormalement important dans une direction non standard, et du point de vue du serveur de messagerie, rien d'inhabituel ne s'est produit... Détection du lancement de code suspect par un processus de confiance, protection contre la modification des fichiers, y compris lors de la tentative de chiffrement - tout cela est nécessaire en cas d'attaque d'un logiciel vulnérable. Si les estimations préliminaires du nombre d'organisations attaquées sont correctes, la situation peut être comparée à la découverte d'un trou dans les routeurs utilisateurs, alors qu'il y a des dizaines et des centaines de milliers de victimes potentielles. Seul le dommage potentiel dans ce cas est beaucoup plus élevé.
Que s'est-il passé d'autre
Une nouvelle attaque par canaux secondaires, basée sur SPECTRE: en pratique , une méthode de vol de secrets est montrée , cette fois avec l'exploitation d'un bus reliant des cœurs de processeurs séparés (les processeurs Intel sont affectés, AMD a une technologie différente). Pendant ce temps, l'exploit de la vulnérabilité SPECTRE semble être tombé entre les mains de cybercriminels.
BleepingComputer décrit un exemple non standard de ransomware chiffré, dans lequel il suggère d'utiliser le serveur de discussion Discord pour communiquer avec l'attaquant.
Découvertfuite de données des serveurs de SITA Passenger Services - un sous-traitant de nombreuses compagnies aériennes à travers le monde. Les données des grands voyageurs des alliances Star Alliance et OneWorld sont probablement affectées.
Un exemple intéressant d' attaque contre les systèmes de reconnaissance d'images utilisant l'apprentissage automatique. Pour brouiller le système, il suffit de mettre un signe devant l'objet avec le nom d'un autre élément. Voir aussi la discussion sur Habré .
Sortie du navigateur Google Chrome 89: dans la prochaine version, la vulnérabilité zero-day est fermée (le fournisseur n'a pas divulgué de détails). Description
intéressante vulnérabilités du système d'autorisation Microsoft. Lorsque vous essayez de changer le mot de passe, un code d'autorisation est envoyé à votre appareil, qui doit être saisi sur le site. Le chercheur n'a pas trouvé de problème trivial dans ce mécanisme permettant des attaques par force brute, mais en a trouvé un non trivial: l'envoi simultané de plusieurs codes d'autorisation dans un laps de temps très court.
Un récent crash de Formule E a été imputé à un bogue logiciel. Si les freins avant échouent, le système doit appliquer les freins sur les roues arrière. Dans le cas du pilote Edoardo Mortara, cela ne s'est pas produit: la voiture électrique n'est pas entrée dans le virage et a pénétré dans la clôture de protection.
Un article de Brian Krebs exploremarché noir des extensions de navigateur. Ils sont achetés pour permettre aux utilisateurs de rejoindre un botnet, qui est ensuite utilisé comme un service VPN illégal.