Más sobre el hackeo chino de Microsoft Trade de día cero


Más sobre el hackeo chino de Microsoft Exchange de día cero

Nick Weaver tiene un excelente publicación en el truco de Microsoft Exchange:

El periodista de investigación Brian Krebs ha elaborado un práctica cronología de eventos y algunas cosas se destacan de la cronología. El atacante fue detectado por primera vez por un grupo el 5 de enero y otro el 6 de enero, y Microsoft reconoció el problema de inmediato. Durante este tiempo, el atacante pareció ser relativamente sutil, explotando objetivos particulares (aunque generalmente carecemos de información sobre quién period el objetivo). Microsoft determinó el 18 de febrero que parchearía estas vulnerabilidades en el lanzamiento de correcciones del 9 de marzo «Patch Tuesday».

De alguna manera, el actor de la amenaza sabía que las hazañas pronto dejarían de tener valor o simplemente adivinó que lo harían. Entonces, a fines de febrero, el atacante cambió de estrategia. En lugar de simplemente explotar servidores Exchange específicos, los atacantes aceleraron considerablemente su ritmo al apuntar a decenas de miles de servidores para instalar el shell world-wide-web, un exploit que permite a los atacantes tener acceso remoto a un sistema. Microsoft luego lanzó el parche con muy poca advertencia el 2 de marzo, momento en el cual el atacante simplemente buscó comprometer casi todos los servidores Trade vulnerables en Internet. ¿El resultado? Prácticamente todos los servidores de correo vulnerables recibieron el shell net como puerta trasera para una mayor explotación, lo que hizo que el parche fuera efectivamente inútil contra los atacantes chinos casi todos los sistemas vulnerables fueron explotados antes de ser parcheados.

Esta es una estrategia racional para cualquier actor al que no le importen las consecuencias. Cuando un día cero es confidencial y no se descubre, el atacante trata de tener cuidado y solo lo united states of america con atacantes de valor suficiente. Pero si el atacante sabe o tiene motivos para creer que sus vulnerabilidades pueden ser parcheadas, aumentará el ritmo de las vulnerabilidades y, una vez que se publique un parche, no hay razón para no intentar explotar todo lo posible.

Sabemos que Microsoft comparte información anticipada sobre actualizaciones con algunas organizaciones. Durante mucho tiempo he creído que avisan a la NSA con algunas semanas de anticipación para que haga básicamente lo que hicieron los chinos: usar el exploit ampliamente, porque no tiene que preocuparse por perder la capacidad.

Las estimaciones sobre el número de redes afectadas siguen aumentando. Por lo menos 30.000 en los EE. UU., y 100.000 Mundial. ¿Más?

Y las vulnerabilidades:

Los actores chinos no estaban usando una sola vulnerabilidad, sino una secuencia de cuatro exploits de «día cero». El primero permitía que un usuario no autorizado básicamente le dijera al servidor «déjame entrar, yo soy el servidor» engañando al servidor para que se contacte a sí mismo. Después de que el usuario no autorizado ingresó, el pirata informático podría usar la segunda vulnerabilidad, que usaba un correo de voz mal formado que, cuando el servidor lo interpretaba, les permitía ejecutar comandos arbitrarios. Otras dos vulnerabilidades permiten al atacante escribir nuevos archivos, que es una primitiva común que los atacantes usan para aumentar su acceso: un atacante united states of america una vulnerabilidad para escribir un archivo y luego united states of america la vulnerabilidad de ejecución de comando arbitrario para ejecutar ese archivo.

Con este acceso, los atacantes podrían leer el correo electrónico de cualquier persona o incluso apoderarse del servidor de correo por completo. Críticamente, casi siempre harían más, introduciendo un «shell world wide web, ”Un programa que permitiría una mayor explotación remota incluso si se repararan las vulnerabilidades.

Los detalles de ese shell net son importantes. Si period sofisticado, implica que los piratas informáticos chinos planeaban instalarlo desde el principio de la operación. Si es algo descuidado, implica una adición de último minuto cuando se dieron cuenta de que su ventana de exploits se estaba cerrando.

Ahora vienen los ataques criminales. Cualquier red no parcheada sigue siendo vulnerable, y sabemos por la historia que muchas redes seguirán siendo vulnerables durante mucho tiempo. Espere que las bandas de ransomware utilicen este ataque como arma en unos días.

Publicado el 10 de marzo de 2021 a las 6:28 a. M. •
comentarios



Enlace a la noticia original