Újabb zsarolóvírus ostromolja az Exchange Servereket
A BlackByte zsarolóvírus is elkezdte kihasználni az Exchange Server idén felfedezett súlyos sebezhetőségeit.A Microsoft Exchange Server kapcsán idén tavasszal három súlyos sebezhetőségre derült fény, amelyek akkor nulladik napi hibáknak számítottak. A javítások áprilisban, illetve májusban váltak elérhetővé, de a kihasználásuk alvilági körökben már márciusban elkezdődött. A három sérülékenység összefoglaló néven "ProxyShell"-ként vált ismertté:
- CVE-2021-34473 - ACL-megkerülésre lehetőséget adó hiba
- CVE-2021-34523 - Exchange PowerShell Backend sebezhetőség - jogosultsági szint emelésre módot adó sérülékenység
- CVE-2021-31207 - fájlkezelési rendellenesség
A hibák által alkotott sebezhetőségi lánc révén jogosulatlan távoli kódfuttatásra, rendszerkompromittálásra, adatlopásra és vírusterjesztésre nyílhat lehetőségük a támadóknak. A ProxyShellt ez év során számos hírhedt kiberbanda igyekezett a saját javára fordítani. Ezek közé zárkózott fel a BlackByte zsarolóvírust terjesztői csoport.
A Red Canary biztonság kutatói olyan incidenseket vizsgáltak, amelyekben szerephez jutott az egyébként már régebb óta fertőző BlackByte. Ehhez a károkozóhoz a Trustwave októberben kiadott egy ingyenes dekódoló eszközt, amivel a korábbi variánsok által titkosított fájlok váltak helyreállíthatóvá. Azonban azóta a vírusírók változtattak a kódjaikon, így a dekódoló eszköz sajnos hatástalanná vált.
Amikor a támadóknak sikerül ráakadniuk egy sebezhető Exchange Serverre, akkor a ProxyShell kihasználásával egy webshell kódot másolnak fel a célkeresztbe állított kiszolgálóra. Majd ezen keresztül juttatják fel a zsarolóvírust, illetve hajtják végre az alábbi műveleteket:
- a Windows Update Agent folyamatába történő kódbefecskendezés (Cobalt Strike)
- regisztrációs adatbázis manipulálása
- árnyékmásolatok törlése
- adatszivárogtatás (WinRAR által tömörített fájlok révén publikus fájlmegosztókon keresztül)
- AnyDesk telepítés
- fájlok titkosítása.
A fentiekből következik, hogy ezúttal is dupla zsarolásos támadásokról van szó, tehát az elkövetők nem kizárólag a titkosított állományok helyreállításához szükséges információkért követelnek pénzt, hanem az eltulajdonított adatokkal is megpróbálnak zsarolni.
A Red Canary szakértői az Exchange Serverek frissítését javasolják, amivel a BlackByte legújabb variánsa által jelentett kockázatok jelentősen csökkenthetővé válnak.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.