Una línea de tiempo básica del Trade Mass-Hack – Krebs on Safety


A veces, cuando una historia compleja nos toma por sorpresa o nos golpea en los talones, vale la pena volver a visitar los eventos de una manera un tanto lineal. A continuación, se muestra una breve cronología de lo que sabemos antes del ataque masivo de la semana pasada, cuando cientos de miles de Microsoft Trade Server los sistemas se vieron comprometidos y sembrados con un poderoso programa troyano de puerta trasera.

¿Cuándo se enteró Microsoft de los ataques a vulnerabilidades previamente desconocidas en Trade?

Al ser presionado por una fecha en la que se dio cuenta del problema por primera vez, Microsoft le dijo a KrebsOnSecurity que se le notificó inicialmente «a principios de enero». Hasta ahora, el informe más antiguo conocido llegó el 5 de enero, de un investigador principal de seguridad de la empresa de pruebas de seguridad. DEVCOR quien va por el mango «Tsai naranja. » A DEVCOR se le atribuye haber informado dos de las cuatro fallas de Trade que Microsoft corrigió el 2 de marzo.

Reston, Virginia Volexidad identificó por primera vez los ataques a las fallas el 6 de enero e informó oficialmente a Microsoft al respecto el 2 de febrero. Volexity ahora dice que puede ver el tráfico de ataques que se remonta al 3 de enero. Microsoft acredita a Volexity por informar las mismas dos fallas de Trade que DEVCOR.

Empresa de seguridad danesa Dubex dice que vio a los clientes atacados por primera vez el 18 de enero e informó sus hallazgos de respuesta a incidentes a Microsoft el 27 de enero.

En una publicación de blog site sobre su descubrimiento, Deje un exploit después del pitido, Dubex dijo que las víctimas que investigó en enero tenían una puerta trasera de «shell net» instalada a través del módulo de «mensajería unificadora», un componente de Exchange que permite a una organización almacenar mensajes de voz y faxes junto con correos electrónicos, calendarios y contactos en los buzones de correo de los usuarios. .

«Un servidor de mensajería unificado también permite a los usuarios acceder a las funciones de correo de voz a través de teléfonos inteligentes, Microsoft Outlook y Outlook World wide web App», escribió Dubex. “La mayoría de los usuarios y departamentos de TI administran su correo de voz por separado de su correo electrónico, y el correo de voz y el correo electrónico existen como bandejas de entrada separadas alojadas en servidores separados. La mensajería unificada ofrece una tienda integrada para todos los mensajes y acceso al contenido a través de la computadora y el teléfono «.

Dubex dice que Microsoft «escaló» su problema el 8 de febrero, pero nunca confirmó el día cero con Dubex antes de la petición de parche de emergencia el 2 de marzo. «Nunca obtuvimos una confirmación» genuine «del día cero antes del parche fue liberado «, dijo Dubex Director de tecnología Jacob Herbst.

¿Cuánto tiempo han existido las vulnerabilidades explotadas aquí?

El 2 de marzo, Microsoft corrigió cuatro fallas en Exchange Server 2013 a 2019. Trade Server 2010 ya no es suitable, pero el gigante del software hizo una excepción de «defensa en profundidad» y también les dio a los usuarios de Server 2010 un parche gratuito. Eso significa que las vulnerabilidades que explotaron los atacantes han estado en la base de código de Microsoft Exchange Server durante más de diez años.

La línea de tiempo también significa que Microsoft tuvo casi dos meses para lanzar el parche que finalmente envió el 2 de marzo, o ayudar a cientos de miles de clientes de Exchange a mitigar la amenaza de esta falla antes de que los atacantes comenzaran a explotarla indiscriminadamente.

A continuación, se muestra una cronología aproximada tal como la conocemos hasta ahora:

  • 5 de enero: DEVCOR alerta a Microsoft de sus hallazgos.
  • 6 de enero: Volexity detecta ataques que utilizan vulnerabilidades desconocidas en Exchange.
  • 8 de enero: DEVCOR informa que Microsoft había reproducido los problemas y verificado sus hallazgos.
  • 11 de enero: DEVCOR trabas proxylogon.com, un dominio que ahora se utiliza para explicar su proceso de descubrimiento de vulnerabilidades.
  • 27 de enero: Dubex alerta a Microsoft sobre los ataques a una nueva falla de Exchange.
  • 29 de enero: Development Micro publica una publicación de blog sobre «Helicóptero”Web shells se caen a través de fallas de Exchange.
  • 2 de febrero: Volexity advierte a Microsoft sobre ataques activos a vulnerabilidades de Exchange previamente desconocidas.
  • 8 de febrero: Microsoft le dice a Dubex que ha «escalado» su informe internamente.
  • 18 de febrero: Microsoft confirma con DEVCOR una fecha límite del 9 de marzo (mañana) para publicar actualizaciones de seguridad para las fallas de Exchange. Ese es el segundo martes del mes, también conocido como «Parche martes, ”Cuando Microsoft publique actualizaciones de seguridad mensuales (y sí, eso significa que vuelva a visitarnos mañana para conocer el fascinante resumen del martes de parches).
  • 26-27 de febrero: La explotación dirigida se convierte gradualmente en un escaneo masivo global Los atacantes comienzan rápidamente a utilizar puertas traseras en servidores vulnerables.
  • 2 de marzo: Una semana antes de lo planeado anteriormente, Microsoft lanza actualizaciones para cubrir 4 fallas de día cero.
  • 3 de marzo: Decenas de miles de servidores Exchange comprometidos en todo el mundo, y miles de servidores más son pirateados cada hora.
  • 5 de marzo: Orange Tsai, un investigador conocido por encontrar e informar algunos errores bastante aterradores en el pasado, chistes que nadie adivinó Trade como la fuente de su Tuit del 5 de enero sobre «probablemente el error más grave (que se puede explotar de forma remota) que he informado».
  • 5 de marzo, 1:26 p.m. ET: En una sesión informativa en vivo, la secretaria de prensa de la Casa Blanca, Jen Paski expresa preocupación sobre el tamaño del ataque.
  • 5 de marzo, 4:07 p.m. ET: KrebsOnSecurity da la noticia de que al menos 30.000 organizaciones en los EE. UU. Y cientos de miles en todo el mundo ahora tienen puertas traseras instaladas.
  • 5 de marzo, 6:56 p.m. ET: Wired.com confirma el número reportado de víctimas.
  • 5 de marzo, 8:04 p.m. ET: Ex director de CISA Chris Krebs tweets el número authentic de víctimas «empequeñece» lo que se ha informado públicamente.
  • 6 de marzo: CISA dice es consciente de la «explotación generalizada nacional e internacional de las fallas de Microsoft Exchange Server».
  • 7 de marzo al presente: Los expertos en seguridad continúan esforzándose por notificar a las víctimas, coordinar la reparación y permanecer atentos a la “Etapa 2” de este ataque (mayor explotación de servidores ya comprometidos).

Actualización, 12:11 p.m. ET: Enlace correcto al sitio de Dubex (es Dubex.dk). También se aclaró el momento del comunicado de prensa de la Casa Blanca expresando preocupación por la cantidad de compromisos de Trade Server.


Etiquetas: Website shell de Chopper, DEVCOR, Dubex, Orange Tsai, proxylogon.com, Volexity

Esta entrada se publicó el lunes 8 de marzo de 2021 a las 11:05 am y está archivada bajo A Minimal Sunshine.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia primary