Il existe des crises «lentes» en matière de cybersécurité, telles que des attaques potentielles contre le code de démarrage sur les smartphones et les ordinateurs portables - tout ce qui nécessite un accès physique au matériel. Le fait qu'un tel accès ne soit pas nécessaire n'est pas non plus toujours un problème qui doit être traité «hier»: même les vulnérabilités critiques sont souvent exploitées avec de nombreuses mises en garde et des difficultés supplémentaires sur le chemin des données importantes. Les attaques contre les serveurs de messagerie Microsoft Exchange sont susceptibles de devenir un exemple classique d'un problème qui se développe rapidement et qui est le plus dangereux pour les victimes potentielles.
Quatre vulnérabilités d'échange activement exploitées révélées3 mars. La deuxième semaine de la «crise postale» a été mouvementée. Un code de démonstration exploitant les vulnérabilités a été publié sur Github. Proof-of-Concept a été rapidement supprimé , ce pour quoi Github (et Microsoft, en tant que propriétaire du service) a été critiqué. Plusieurs études ont signalé à la fois une attaque sur les serveurs de messagerie par non pas un, mais au moins une douzaine de groupes différents. Le 13 mars, il a été mis au courant de l'utilisation de serveurs déjà compromis pour des attaques avec cryptage et extorsion de données. Dans le même temps, les découvreurs des vulnérabilités ont clarifié le calendrier de l'enquête: apparemment, la vulnérabilité clé d'Exchange a été découverte lors d'un audit en décembre.
Une chronologie détaillée du développement des événements est publiée sur le site Web de Brian Krebs. Selon lui, le vendeur a été notifié des vulnérabilités presque simultanément par deux sociétés, indépendamment l'une de l'autre. Dans le même temps, Volexity a notifié à Microsoft qu'il enquêtait sur de véritables attaques. Devcore a découvert deux des quatre vulnérabilités sans être conscient de leur exploitation lors d'un audit de sécurité Exchange en octobre de l'année dernière. La semaine dernière, Devcore a publié une chronologie détaillée de sa propre interaction avec Microsoft: début décembre, ils ont trouvé un moyen de contourner l'authentification sur le serveur de messagerie, le soir du Nouvel An, ils ont trouvé une vulnérabilité en écrivant des données arbitraires sur le serveur et ont ainsi simulé une attaque de travail.
Fin janvier, Trend Micro a signalé des cas de piratage de serveurs de messagerie avec l'organisation d'un shell Web pour un contrôle ultérieur sur ceux-ci, mais associe les attaques à une autre vulnérabilité qui était déjà fermée à ce moment-là. À la mi-février, Microsoft a annoncé à Devcore son intention de fermer les vulnérabilités lors de la publication du correctif prévue pour le 9 mars. Mais à la toute fin, ceux qui ont précédemment piraté des serveurs passent sélectivement à la tactique de recherche à grande échelle et de piratage d'organisations vulnérables. Ceci, à son tour, oblige Microsoft à distribuer des correctifs six jours avant le Patch mardi 3 mars. Déjà au moment de la distribution des correctifs, le nombre de serveurs de messagerie attaqués était estimé à des dizaines de milliers.
Le 12 mars, Microsoft, citant RiskIQ, fournit une estimation globale du nombre de serveurs potentiellement vulnérables. Au 1er mars, il y en avait environ 400 000. Le 9 mars, 100 000 serveurs n'étaient pas corrigés, le 12 mars, leur nombre était tombé à 82 000. Dans le même temps, un drame distinct survient avec la publication de PoC sur Github. Après la publication du correctif, ce n'était qu'une question de temps avant que la preuve de concept ne soit rétro-conçue.
Le code de l'attaque sur Exchange est publié le 10 mars, et est immédiatement interdit sur GitHub, pour lequel Microsoft reçoit une partie de critiques: est-ce de la censure? Les anti-censeurs commencent à s'afficher comme contre-mesure copies du code dans leurs comptes. Il est clair qu'Internet ne fonctionne pas comme ça: ce qui y était autrefois publié, il ne sera plus possible de le publier. Mais il y a aussi un contre-argument: l'exploit fini, bien sûr, est utile à des fins de «recherche» et dans le cadre d'une suite pour tester les réseaux d'entreprise, mais pour ces centaines de milliers d'organisations avec un trou ouvert, il apportera encore plus problèmes. Ils sont maintenant attaqués par tout le monde, et très probablement les entreprises qui ont le minimum de ressources pour résoudre les problèmes de sécurité sont tombées sous la distribution.
Si vous pensez que cette histoire n'a pas fait suffisamment de dégâts, voici un autre point. Une étude de Palo Alto fournit quelques détails sur un shell Web installé sur des serveurs compromis. À partir de ces détails, un employé de Devcore connu sous le surnom d'Orange Tsai fait l' hypothèse que l'exploit qu'il a développé a été utilisé dans de vraies attaques avant la publication du correctif. Il a partagé en privé un exploit de démonstration avec Microsoft début janvier. Comment s'est-il retrouvé entre les mains d'un (ou plusieurs) des groupes attaquants? selon laLes médias, la fuite s'est produite après que Microsoft a partagé des informations avec des partenaires. L'exploit a été mis en service presque sans changement, et il est identifié par la ficelle «orange» cousue dedans, laissée par Orange Tsai.
Eh bien, en conclusion, parlons d'extorsion. La fermeture de la vulnérabilité n'aidera pas si le serveur a déjà été compromis et que ses propriétaires n'ont pas pu identifier la présence d'un shell Web. Il semble que la porte dérobée typique laissée par les groupes de piratage d'origine soit maintenant exploitée par les ransomwares. L'accès est utilisé pour crypter les données et le texte utilise le terme DearCry, une référence à l'attaque du rançongiciel WannaCry 2017. Bref verdict intermédiaire: tout va très mal. C'est tellement grave que Microsoft a publié un correctifdepuis longtemps pour une version non prise en charge d'Exchange Server 2010. Et nous ne connaissons toujours pas les conséquences des attaques, qui se sont probablement accompagnées de vols de courriers électroniques, de piratage d'autres serveurs du réseau d'entreprise, etc. Les noms des organisations concernées sont déjà connus. Parmi eux, par exemple, le parlement norvégien .
Que s'est-il passé d'autre
BleepingComputer rapporte une nouvelle tactique pour les escrocs vantant des «cadeaux de crypto-monnaie» sur les réseaux sociaux. Au lieu d'imiter Elon Musk, ils annoncent l'arnaque de manière simple via des mécanismes Twitter payants.
Google publie un code de démonstration à des fins de recherche qui exploite la vulnérabilité Spectre. L'attaque pratique montre le vol du contenu de la mémoire via le navigateur Chrome 88 à une vitesse de 1 kilo-octet par seconde.
Un ensemble de mises à jour pour les produits Microsoft, publié le 9 mars, corrige une vulnérabilité zero-day dans Internet Explorer. Et les utilisateurs se plaignentqu'une autre mise à jour de cet ensemble fait planter Windows dans un écran bleu lors d'une tentative d'imprimer quelque chose sur l'imprimante.
La vidéo dans le tweet ci-dessus montre comment déclencher un déni de service dans le système multimédia d'une voiture en connectant un clavier USB au port.
Les vulnérabilités critiques des appareils hautes performances BIG-IP et BIG-IQ de F5 Networks permettent de contourner le mécanisme d'autorisation.