Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.09.2021

5 edycja konferencji Test...

21 października startuje kolejna, piąta już edycja największej w Polsce konferencji...
23.09.2021

Zero Trust Firewall

FortiGate 3500F
23.09.2021

Ochrona IoT

Kaspersky SHS
23.09.2021

Wydatki lobbingowe

Cyfrowy monopol
23.09.2021

Współdziałanie klastrów

SUSE Rancher 2.6
23.09.2021

Panasonic TOUGHBOOK 55

Najnowsza wersja wszechstronnego Panasonic TOUGHBOOK 55 to wytrzymały notebook typu...
23.09.2021

Elastyczna dystrybucja...

Liebert RXA i MBX
23.09.2021

Zdalny podgląd w 360°

D-Link DCS-8635LH
23.09.2021

Sejf na dane

Szyfrowany pendrive

Modelowe ataki przestępców – wykorzystanie podatności

Data publikacji: 23-09-2021 Autor: Ireneusz Tarnowski

W ostatnich tygodniach ujawniano wiele krytycznych podatności, które szybko zaczęły być wykorzystywane przez przestępców. Były to czasem trudne do eliminacji luki w oprogramowaniu Microsoftu, m.in. serwer pocztowy Exchange, serwer Active Directory czy usługa drukowania sieciowego.

 

Cyberprzestępcy swój atak rozpoczynają od zdobycia przyczółku w infrastrukturze ofiary. A jak dostać się do infrastruktury przeciwnika? Najlepiej tanio i skutecznie. Jednym z podstawowych wektorów ataku jest atak socjotechniczny (np. mail) i przejęcie kontroli nad komputerem pracownika. Jednak w ostatnim czasie hakerom jest znacznie łatwiej. Podatności w oprogramowaniu, które umożliwiają zdalne wywołanie kodu lub podnoszenie uprawnień, stały się niezwykle groźne.

Zespoły odpowiedzialne za bezpieczeństwo infrastruktury w organizacji po każdorazowym ogłoszeniu podatności muszą przeprowadzić analizę, w której zmierzą, czy dana luka może przyczynić się do udanego ataku, jaki jest jej potencjalny wpływ na organizację, określą ryzyko i przygotują plan działań. Typowe działania zakładają następujące kroki:

 

  1. Identyfikacja podatności.
  2. Określenie potencjalnych skutków.
  3. Określenie możliwych wektorów ataku z wykorzystaniem podatności.
  4. Potwierdzenie istnienia powierzchni ataku.
  5. Opracowanie planu i harmonogramu mitygacji zagrożenia.

 

> Przegląd podatności

W miesiącach letnich 2021 r. analitykom cyberzagrożeń w pamięć zapadły takie nazwy jak: ProxyShell, ProxyToken, ProxyLogon, ZeroLogon, PrintNightMare, PetitPotam. Każda z nich to podatność (jedna lub kilka), która może doprowadzić do całkowitego przejęcia kontroli nad systemami IT firmy przez atakującego. Przeanalizujmy niektóre ze znaczących podatności ostatnich tygodni z punktu widzenia bezpieczeństwa organizacji.

ActiveX

 

  • Podatność: CVE-2021-40444
  • Cel: Microsoft Office
  • Data publikacji: 7.09.2021
  • Krytyczność: luka ważna
  • Trudność wykonania: średnia – wymagana interakcja z użytkownikiem
  • Skutek: możliwość wykonania dowolnego kodu na komputerze ofiary


Sposób wykorzystania: atakujący przygotowuje odpowiednie pliki .docx, które po otwarciu przez ofiarę umożliwiają przejęcie jej komputera. Osoba atakująca może stworzyć złośliwą kontrolkę ActiveX, która będzie używana przez dokument pakietu Microsoft Office, gdzie znajduje się silnik renderujący przeglądarki. Atakujący musi w tym scenariuszu przekonać użytkownika do otwarcia złośliwego dokumentu. Użytkownicy, którzy pracują na kontach w systemie o zwykłym poziomie uprawnień, mogą być mniej podatni niż użytkownicy działający z uprawnieniami administratora.

Rozwiązanie: najłatwiejszym do wdrożenia rozwiązaniem chroniącym przed wykorzystaniem tej słabości jest wyłączenie obsługi ActiveX we wszystkich systemach. Można to zrobić na kilka sposobów, m. in. edytując rejestr systemu:

 

  • [HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones�] "1001"=dword:00000003 "1004"=dword:00000003
  • [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1] "1001"=dword:00000003 "1004"=dword:00000003
  • [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2] "1001"=dword:00000003 "1004"=dword:00000003
  • [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3] "1001"=dword:00000003 "1004"=dword:00000003


Niestety nie zawsze jest możliwe wyłączenie tej funkcji. Przed podjęciem takiej decyzji należy zweryfikować, czy aplikacje używane w firmie (szczególnie te starsze) do swojego prawidłowego działania nie wymagają włączonego ActiveX.

Producent przygotował też odpowiednią regułę w Microsoft Defenderze. Użytkownicy korzystający z aktualizacji automatycznych nie muszą podejmować dodatkowych działań. Klienci korporacyjni, którzy zarządzają aktualizacjami, powinni wybrać wersję 1.349.22.0 lub nowszą i wdrożyć ją w swoich środowiskach.

Komentarz: podatność ta jest aktywnie wykorzystywana przez przestępców od sierpnia tego roku. Dostępne są narzędzia, które uzbrajają dokument w kod wykorzystujący słabości, umożliwiający wykonanie złośliwego programu na komputerze ofiary.

ProxyToken

 

  • Podatność: CVE-2021-33766, CVE-2020-0688, CVE-2021-34473
  • Cel: Microsoft Exchange Server (ominięcie uwierzytelniania w usłudze pocztowej)
  • Data publikacji: 13.07.2021
  • Krytyczność: luka ważna (krytyczny wpływ na poufność)
  • Trudność wykonania: niska (atak sieciowy)
  • Skutek: dzięki tej luce nieuwierzytelniony atakujący może pozyskać zawartość skrzynek pocztowych należących do dowolnych użytkowników oraz wykonać na nich działania konfiguracyjne


Sposób wykorzystania: luka w  zabezpieczeniach polega na funkcji zwanej uwierzytelnianiem delegowanym, odnoszącej się do mechanizmu, w którym interfejs internetowy systemu pocztowego (OWA, Outlook Web Access – webowy klient pocztowy) przekazuje żądania uwierzytelnienia bezpośrednio do serwerów backend, gdy wykryje obecność pliku cookie SecurityToken. Serwer Exchange musi być jednak skonfigurowany do korzystania z tej funkcji i przeprowadzać weryfikację tego tokenu. To prowadzi wprost do scenariusza, w którym moduł obsługujący delegowanie uwierzytelnienia („DelegatedAuthModule”) nie jest ładowany w konfiguracji domyślnej, co umożliwia jego obejście. Informacje są ujawniane atakującemu, ponieważ serwery backendowe nie mogą uwierzytelnić żądań przychodzących na podstawie pliku cookie SecurityToken.

Rozwiązanie: w pierwszej kolejności należy wyłączyć usługę OWA, jeżeli nie jest ona niezbędna do działania systemu pocztowego. Usługa stanowi tylko jeden z komponentów ułatwiający korzystanie z systemu poczty. Jeżeli dostępne (dla większości pracowników) są inne mechanizmy dostępu do skrzynek pocztowych, najskuteczniejszym mitygantem, zanim problem zostanie rozwiązany, jest zatrzymanie usługi. Następnie należy ograniczyć dostęp do OWA tylko do sieci wewnętrznej lub do zaufanych adresów IP, by na końcu wdrożyć poprawkę w trybie priorytetowym.

Komentarz: podatność tę należy dodać do rosnącej listy luk w zabezpieczeniach programu Exchange Server, które wyszły na światło dzienne w tym roku. ProxyLogon, ProxyOracle i ProxyShell, które były aktywnie wykorzystywane przez cyberprzestępców do przejmowania niezałatanych serwerów, wdrażania złośliwych skryptów (np. web­shelli) i propagowania oprogramowania ransomware szyfrującego pliki (np. LockFile). Próby wykorzystania podatnych na ataki serwerów Exchange zostały wykryte w cyberprzestrzeni, zanim Microsoft opublikował łatki. Wyczerpuje to w całości definicję podatności klasy 0-day. Cyberprzestępcy próbowali uruchomić lukę w zabezpieczeniach, omijając uwierzytelniania na serwerach Exchange od 10 sierpnia, czyli trzy tygodnie przed ujawnieniem błędu.

ProxyShell

 

  • Podatność: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207
  • Cel: Microsoft Exchange Server
  • Data publikacji: 13.07.2021
  • Krytyczność: luka krytyczna
  • Trudność wykonania: niska (atak sieciowy)
  • Skutek: RCE (Remote Code Execution) – zdalne wykonanie kodu, EoP (Elevation of Privilege) – podniesienie uprawnień, ominięcie mechanizmów bezpieczeństwa


Sposób wykorzystania: po połączeniu luki te umożliwiają atakującemu ominięcie kontroli ACL, wysłanie żądania PowerShell i podniesienie uprawnień, skutecznie uwierzytelniając atakującego i finalnie umożliwiając zdalne wykonanie kodu.

Rozwiązanie: aktualizacja oprogramowania.

Komentarz: ProxyShell to nazwa nadana zbiorowi luk w zabezpieczeniach serwerów Microsoft Exchange, które wykorzystane w jednym ataku, umożliwiają cyberprzestępcom ominięcie uwierzytelniania i wykonanie kodu jako uprzywilejowany użytkownik. ProxyShell zawiera trzy oddzielne luki wykorzystywane w ramach jednego łańcucha ataków.

Luki dotyczą usługi Microsoft Client Access Service (CAS), która zazwyczaj działa na porcie 443 w IIS (serwerze WWW firmy Microsoft). CAS jest powszechnie dostępny w publicznym internecie, aby umożliwić użytkownikom dostęp do poczty e-mail za pośrednictwem urządzeń mobilnych i przeglądarek internetowych. Ta ekspozycja na atak doprowadziła do powszechnego wykorzystywania tych luk przez cyberprzestępców, którzy dzięki nim instalują powłoki internetowe w celu zdalnego wykonania dowolnego kodu na zaatakowanych urządzeniach. Ten scenariusz został już wykorzystany poprzez grupę APT HAFNIUM.

 

[...]

 

Autor jest ekspertem w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"