monitor

ProxyLogon – Hírkövető

2021. 15. hét

Az amerikai Igazságügyi Minisztérium sajtóközleménye szerint a Szövetségi Nyomozóiroda felhatalmazást kapott arra, hogy azokon a fertőzött Exchange szervereken, amelyeken még nem történt meg a ProxyLogon támadások során terjesztett web shellek törlése, maga intézkedjen a kiszolgálók megtisztításáról. Az FBI ennek eleget is tett a beazonosított web shell komponenseknek kiadott „purgáló” parancs segítségével, amely törölte a káros összetevőket a kiszolgálókról, azonban furcsa módon erről az érintett rendszerek üzemeltetőit egyáltalán nem tájékoztatta.  [2021.04.13.]

 

2021. 13. hét

Szerencsére tovább csökkent a sérülékeny Exchange kiszolgálók száma, március 22-re számuk már 30 000 alá csökkent. A továbbra is sebezhető szervereket azonban a DoejoCrypt (vagy más néven DearCry) és BlackKingdom zsarolóvírusok mellett egy kriptovaluta bányász csoport (Lemon Duck) is fenyegeti. [2021.03.29.]

Az áldozatok tekintetében a Check Point kutatóiak friss közlése szerint leginkább a bank és pénzügyi szektor volt kitéve ProxyLogon támadásoknak (28%), amit a kormányzati és katonai szektor követ (16%), valamint a gyártóipar (12,5%) és a biztosítási és jogi szektor (9,5%). [2021.03.29.]

A témához kapcsolódó további hír, hogy az amerikai belbiztonsági minisztérium Kiberbiztonsági és Infrastruktúravédelmi Ügynöksége (CISA) kiegészítette korábbi vészhelyzeti direktíváját, amelynek értelmében az Exchange kiszolgálókat használó amerikai kormányzati szerveknek 2021. 04. 05-ig le kell tölteniük és futtaniuk kell a Microsoft MSERT legfrissebb verzióját, valamint a Test-ProxyLogon.ps1 szkriptet.

2021. 12. hét

Újabb ransomware terjesztő csoport kezdhetett ProxyLogont kihasználó támadásokba. A MalwareTechBlog jelzése szerint a BlackKingdomra keresztelt ransomware kampányt azonosított csapdarendszerének (honeypot) adatai alapján. Habár a blog gazdája, Marcus Hutchins szerint ez a kampány nem volt sikeres ─ ugyanis az ő észlelései során nem történt valódi fájltitkosítás, csupán zsaroló üzenet került elhelyezésre a csapdarendszer néhány könyvtárában ─, a zsarolóvírusok azonosítását megkönnyítő ID Ransomware online portálra mintegy 30 egyedi BlackKingdom zsarolóvírus minta került beküldésre, sokuk egyenesen mail szerverekről. A BlackKingdom zsarolóvírust először tavaly júniusban Pulse Secure VPN-ek elleni támadások során azonosították.

Mindemellett arról érkeztek hírek, hogy a hírhedt REvil zsarolóvírus csoport sikeres támadást hajtott végre az Acer ellen, amelynek kapcsán a ProxyLogon érintettsége is felmerült. [2021.03.22.]

A Microsoft szerint a sérülékeny Exchange szerverek döntő többsége (92%) már vagy frissítésre került, vagy olyan megkerülő megoldás került alkalmazásra, ami védelmet nyújt a ProxyLogon-t célzó támadások ellen. [2021.03.24]

Idő közben az Egyesült Államok belbiztonsági kiberügynöksége, a CISA frissítette az Exchange támadások során azonosított web shellekről kiadott korábbi tájékoztatóját, amely így újabb indikátorokat, mintákat tartalmaz a China Chopper webshell azonosításához. [2021.03.26.]

2021. 11. hét

A Microsoft a hét elején elérhetővé tet egy szkriptet (EOMT.ps1), amely egy Exchange kiszolgálón történő futtatásakor automatikusan ellenőrzi, hogy a szerver sérülékeny-e a ProxyLogon sebezhetőségekre, és amennyiben igen, egy megkerülő megoldással hatástalanítja a CVE-2021-26855 számú sérülékenység lehetséges kihasználását. [2021.03.19.]

Később a gyártó még tovább ment az automatikus védelem érdekében, ugyanis immáron a Microsoft Defender Antivirus and System Center Endpoint Protection védelmi szoftver is képes a sebezhetőségek kivédésére. A szoftvert használó vállalkozásoknak csupán azt kell ellenőrizniük, hogy az automatikus frissítés legyen bekapcsolva a Defenderen, ugyanis a ProxyLogon elleni védelm a 1.333.747.0 számú definíciórissítés telepítével érhető el. [2021.03.18.]

A sérülékenységeknek kitett szerverek száma továbbra is magas. A Microsoft adatai szerint 2021.03.12-én még több, mint 80 000 sérülékeny szerver volt elérhető az interneten keresztül.

2021. 10. hét

A Microsoft a hivatalosan már nem támogatott Exchange verziókhoz (pl. Exchange 2010) is adott ki javítást. A gyártó ugyanakkor jelezte, ezek a javítások kizárólag a ProxyLogon sérülékenységet javítják, azaz javasolt áttérni egy támogatott verzióra. [2021.03.09.]

Idő közben biztonsági kutatók arra figyelmeztettek, hogy egyre több ProxyLogont kihasználó támadás azonosítható. A Check Point Research adatai szerint a kihasználási próbálkozások száma meredeken emelkedik, a legtöbb támadás török (19%), amerikai (18%), olasz (10%) szerverek ellen zajlik. Szektorokra vetítve a kormányzati/katonai (17%), a gyártás (14%) és a bankszektor (11%) van a legnagyobb nyomásnak kitéve. [2021.03.12.] Ismerté vált áldozat például a norvég parlament (Stroting). [2021.03.10.]

Az ESET kutatói padig arra hívták fel a figyelmet, hogy telemetriai adataik alapján minimum 10 APT csoport (például: Tick, LuckyMouse, Calypso, Websiic, Winnti Group, Tonto Team, ShadowPad, Mikroceen) kezdett ProxyLogon-t kihasználó támadásokba. [2021.03.10]

Mindeközben egy független vietnámi biztonsági kutató, Nguyen Jang kihasználást bizonyító toolt (Proof-of-Concept – PoC) hozott nyilvánosságra a GitHubon, ám a Microsoft néhány órán belül eltávolította azt, arra hivatkozva, hogy ügyfeleire nézve veszélyt jelent, és a Git felhasználási irányelvei egyértelműen tiltják, malware-ek, vagy exploitok feltöltését. [2021.03.11.]

Az állami támogatású fenyegetési szereplők mellett a kiberbűnözők is meglátták a sebezhetőségekben rejlő „lehetőséget”. Michael Gillespie, az ID-Ransomware készítője szerint zsarolóvírust (DearCry, másnéven  Win32/DoejoCrypt.A) azonosítottak kompromittált Exchange kiszolgálókon. Mindezt a Microsoft is megerősítette. [2021.03.12.]

2021. 09. hét

A Microsoft soron kívüli hibajavítást adott ki helyi telepítésű Exchange kiszolgálókat érintő négy zero day (nulladik napi) sérülékenység javításához, amelyek sikeres kihasználásával a támadó teljes irányítást nyerhet a levelezőrendszer felett. A vállalat már ekkor jelezte, hogy tudomása van aktív kihasználásokról, amelyeket a kínai HAFNIUM csoporthoz kötött, az azonosított támadásokról pedig technikai információkat, indikátorokat is közölt. A frissítési információkról külön blogbejegyzésben adott részletes tájékoztatást, webshellek detektáláshoz pedig néhány szkriptet is közzétettek üzemeltetők számára. [2021.03.02.]

A Microsoft frissítette beépített védelmi szoftverének (Microsoft Defender) szignatúra adatbázisát is, így az már képes felismerni az Exchange szerverek ellen alkalmazott eddigi web shell malware-eket. Azon vállalkozások számára, amelyek nem a tech óriás védelmi szoftverét használják, lehetőség van igénybe venni a Microsoft Safety Scannert (vagy korábbi nevén Microsoft Support Emergency Response Tool – MSERT), ugyanis ez szintén frissítésre került. [2021.03.07]

A lett eseménykezelő központ (CERT-LV) szintén közreadott egy PowerShell szkriptet (detect_webshells.ps1), amelynek segítségével ─ a tool publikálásáig azonosított minták alapján ─ megállapítható egy Exchange kiszolgáló webshell malware-ekkel történő fertőzöttsége.