Hlavní navigace

Postřehy z bezpečnosti: sofistikovaný útok na servery MS Exchange

8. 3. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Microsoft
V aktuálním díle Postřehů se podíváme na sofistikovaný útok na MS Exchange servery, na typosquatting, na únik nahrávek telemarketingové společnosti, na zranitelnost nástroje VMWare View Planner a na řadu dalších zajímavostí.

Microsoft Exchange se stal cílem sofistikovaného útoku

Microsoft vydal v úterý varování před sofistikovaným útokem na servery Microsoft Exchange. Útočník při něm řetězil čtyři různé zranitelnosti nultého dne (CVE-2021–26855, CVE-2021–26857, CVE-2021–26858 a CVE-2021–27065). Výsledkem tohoto útoku byl přístup k obsahu e-mailových schránek a instalace malwaru zajišťujícího dlouhodobý přístup do prostředí napadené instituce.

Podle Microsoftu za útokem s velkou mírou jistoty stojí Čínská APT skupina HAFNIUM, která operuje z VPS pronajatých v USA. V originálním blogpostu lze najít další technické podrobnosti a indikátory kompromitace.

Zneužití uvedených zranitelnosti stojí údajně i za útokem na informační systém Ministerstva práce a sociálních věcí.

Typosquatting v PyPI

Jednou za čas neuškodí si připomenout vynalézavý vektor útoku – typosquatting. Při něm útočník využije překlepů k tomu, aby nasměroval oběti na svou službu. Týká se to nejen webových stránek, ale i instalací balíčků.

Minulé pondělí kdosi nahrál na PyPI, hlavní repozitář pro instalaci knihoven jazyka Python, přes tři tisíce balíčků, jejichž jména nápadně připomínají známé knihovny s jedním či dvěma překlepy. Programátor, který si nedá pozor a omylem nainstaluje jinou knihovnu, může snadno nakazit svůj počítač. V tomto případě se mohlo jednat o dílo výzkumníka, balíčky obsahují pouze upozornění, aby přitáhly pozornost k možnému útoku. Zůstává však faktem, že za poslední dva roky programátoři nainstalovali/spustili z PyPI škodlivé balíčky půlmilionkrát.

V roce 2020 vzrostl ransomware o 150 procent

Podle „Group-IB“ za rok 2020 vzrostl ransomware o 150 %, přičemž průměrná částka, kterou i útočníci nárokovali se zdvojnásobila. Singapurská bezpečnostní společnost v loňském roce analyzovala více než 500 útoků. Podle analýzy průměrná částka výkupného pro zasílání dešifrovacího klíče činila 170 000 dolarů, přičemž skupiny Maze, DoppelPaymer a RagnarLocker vyžadovaly v průměru dva miliony dolarů. Je důležité zmínit, že mezi analyzovanými ransomware útoky byly převážně útoky na velké soukromé organizace v Americe a Evropě.

Únik nahrávek telemarketingové společnosti

Americké telemarketingové společnosti unikly osobní údaje desítek tisíc zákazníků po špatné konfiguraci cloudového úložiště. Podle informací mohl útočník získat 114 tisíc souborů. Většinou se jednalo o zvukové záznamy telefonních hovorů. Navíc tam bylo uloženo kolem 2 000 záznamů textových zpráv.

Podle bezpečnostního týmu, který odhalil únik dat, zvukové záznamy obsahovaly osobní informace jako například celá jména, adresy trvalého bydliště a telefonní čísla. Všechny tyto údaje se dají využívat na dobře cílený phishing, případně by útočník mohl zahájit další hovory a předstírat, že jedná jménem telemarketingové společnosti.

GO na vzestupu

Firma Intezer uvádí, že dochází k nárůstu použití jazyka Go při tvorbě škodlivého kódu. Navazuje tak na výzkum provedený již v roce 2019 Joshem Grunzveigem.

Jaké má Go z pohledu tvůrce škodlivého kódy výhody?

  • Snadný proces cross platform kompilace. Je tak možné lehce vytvářet kód pro více platforem
  • Stále ještě není snadné provádět reverzní analýzu výsledného kódu
  • Výborná podpora síťové komunikace v jazyku
  • Statická kompilace. To může být kvůli velikosti výsledného kódu nevýhoda (veliké přílohy k e-mailům), ale s velkým kódem mohou mít na druhou stranu některé antiviry potíže

Příkladů škodlivého kódu vytvořeného v Go je již poměrně dost: Zebrocy, WellMess, Godlike12, Go Loader, GOSH, Glupteba, CryptoStealer.Go, RobbinHood, Nefilim, EKANS a další.

Kurz Bezpečně v kyber je zdarma

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) otevírá pro veřejnost svůj on-line kurz Bezpečně v kyber. Kurz, který se zaměřuje na kybernetickou bezpečnost a rizikové jevy v kyberprostoru, jako jsou kyberšikana, kyberstalking nebo hatespeech, je primárně určen pro pracovníky vzdělávání a prevence, pedagogy i ředitele škol, ale nyní si jej může projít kdokoli, kdo má o problematiku zájem.

Kurz je rozdělen na základní a rozšířenou verzi. Kratší verze obsahuje základní lekce, jakými jsou například sexting, netolismus nebo kybergrooming. Časová dotace kurzu je přibližně 3 hodiny a po složení testu na konci kurzu mohou zaregistrovaní uživatelé získat certifikát. Celkem v základní verzi čeká uživatele devět kapitol. V rozšířené verzi jsou kromě témat ze základní verze i témata jako poruchy příjmu potravy a Internet, rizika počítačových her nebo hatespeech.

Rozšířená verze obsahuje i kapitoly k mediální gramotnosti (Hoax, Hatespeech apod.), které pro kurz připravilo Ministerstvo školství, mládeže a tělovýchovy (MŠMT) ve spolupráci se Zvolsi.Info. Celkově rozšířená verze uživateli zabere více než šest hodin času a na jejím konci získá příslušný certifikát.

Zranitelnost nástroje VMWare View Planner

Nástroj VMWare View Planner obsahuje závažnou zranitelnost (CVE-2021–21978), která může potenciálnímu neautentizovanému útočníkovi umožnit vzdálené spuštění kódu. Jedná se o chybu ve validaci vstupu při kontrole souborových přípon a nedostatečnému ověření uživatele při nahrávání souborů. Zneužití zranitelnosti nevyžaduje žádnou akci od uživatele a není vysoce složité. Zranitelné jsou všechny verze produktu View Planner od verze 4.x, opravená verze je 4.6 Security Patch 1.

Ve zkratce

Pro pobavení


Zdroj:https://twitter.com/PatchFriday

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.