ProxyLogon POC dirilis, kemungkinan Memicu lebih banyak serangan Cyber
Cybersecurity Agency dan Infrastruktur AS (CISA) dan Biro Investigasi Federal (FBI) pada hari Rabu mengeluarkan peringatan penasihat bersama tentang eksploitasi aktif kerentanan dalam produk lokal Microsoft Exchange oleh aktor negara dan CyberCrimer.
"CISA dan FBI menilai bahwa musuh dapat mengeksploitasi celah/kerentanan ini untuk menyusupi jaringan, mencuri informasi, mengenkripsi data untuk tebusan, atau bahkan melakukan serangan yang merusak," kata badan tersebut . "Musuh juga dapat menjual akses ke jaringan yang disusupi di web gelap."
Serangan tersebut terutama menargetkan pemerintah daerah, lembaga akademik, organisasi non-pemerintah, dan entitas bisnis di berbagai sektor industri, termasuk pertanian, bioteknologi, kedirgantaraan, pertahanan, layanan hukum, utilitas listrik, dan farmasi, yang menurut lembaga tersebut sejalan dengan itu. aktivitas sebelumnya yang dilakukan oleh pelaku cyber China.
Puluhan ribu entitas, termasuk Otoritas Perbankan Eropa dan Parlemen Norwegia , diyakini telah dilanggar untuk memasang pintu belakang berbasis web yang disebut Webshell China Chopper yang memberi penyerang kemampuan untuk Memenjarah Enail masuk dan mengakses dari jarak jauh. sistem.
Perkembangan ini terjadi karena perluasan serangan yang cepat yang ditujukan pada Exchange Server yang rentan, dengan banyak pelaku ancaman mengeksploitasi kerentanan paling cepat 27 Februari sebelum akhirnya ditambal oleh Microsoft minggu lalu, dengan cepat mengubah apa yang diberi label sebagai "terbatas dan ditargetkan". menjadi campaign eksploitasi massal tanpa pandang bulu.
Meskipun tidak ada penjelasan konkret untuk eksploitasi yang meluas oleh begitu banyak kelompok yang berbeda, spekulasi bahwa musuh menjual kode eksploitasi, mengakibatkan kelompok lain dapat menyalahgunakan kerentanan ini, atau bahwa kelompok tersebut memperoleh eksploitasi dari penjual biasa.
Dari RCE ke Webshell hingga Implan
Pada 2 Maret 2021, Volexity secara terbuka mengungkapkan deteksi beberapa eksploitasi zero-day yang digunakan untuk menargetkan kelemahan dalam versi lokal dari Server Microsoft Exchange, sambil menetapkan aktivitas eksploitasi in-the-wild paling awal pada 3 Januari 2021.
Persenjataan yang berhasil dari Kerentanan ini, yang disebut ProxyLogon, memungkinkan penyerang untuk mengakses Exchange Server korban, memungkinkan mereka untuk mendapatkan akses sistem yang persisten dan kontrol dari jaringan perusahaan.
Meskipun Microsoft awalnya menyematkan gangguan pada Hafnium, sebuah kelompok ancaman yang dinilai disponsori negara dan beroperasi di luar China, perusahaan keamanan siber Slovakia ESET pada hari Rabu mengatakan telah mengidentifikasi tidak kurang dari 10 pelaku ancaman berbeda yang kemungkinan mengambil keuntungan dari eksekusi kode jarak jauh. kekurangan untuk memasang implan berbahaya di server email korban.
Selain Hafnium, lima grup yang terdeteksi mengeksploitasi kerentanan sebelum rilis patch adalah Tick, LuckyMouse, Calypso, Websiic, dan Winnti (alias APT41 atau Barium), dengan lima lainnya (Tonto Team, ShadowPad, "Opera" Cobalt Strike, Mikroceen, dan DLTMiner) memindai dan membahayakan server Exchange.
Tidak ada bukti konklusif yang muncul sejauh ini yang menghubungkan campaign ke China, tetapi Peneliti Keamanan Senior Domain Tools Joe Slowik mencatat bahwa beberapa grup yang disebutkan di atas sebelumnya telah dikaitkan dengan aktivitas yang disponsori China, termasuk Tick, LuckyMouse, Calypso, Tonto Team, Mikroceen , dan Grup Winnti, yang menunjukkan bahwa entitas China selain Hafnium terkait dengan aktivitas eksploitasi Exchange.
"Tampak jelas bahwa ada banyak kelompok kelompok yang memanfaatkan kerentanan ini, kelompok tersebut menggunakan pemindaian massal atau layanan yang memungkinkan mereka menargetkan sistem yang sama secara independen, dan akhirnya ada beberapa variasi kode yang mungkin merupakan indikasi dari pengulangan serangan, " kata tim intelijen ancaman Unit 42 Palo Alto Networks .
Dalam satu cluster yang dilacak sebagai " Safir Pigeon " oleh para peneliti dari Red Canary yang berbasis di AS, penyerang menjatuhkan beberapa Webshell pada beberapa korban pada waktu yang berbeda, beberapa di antaranya digunakan beberapa hari sebelum mereka melakukan aktivitas lanjutan.
Menurut analisis telemetri ESET, lebih dari 5.000 server email milik bisnis dan pemerintah dari lebih dari 115 negara dikatakan telah terpengaruh oleh aktivitas jahat terkait insiden tersebut. Sementara itu, Institut Belanda untuk Pengungkapan Kerentanan (DIVD) pada hari Selasa melaporkan bahwa mereka menemukan 46.000 server dari 260.000 secara global yang belum ditambal terhadap kerentanan ProxyLogon yang sangat dieksploitasi.
Masalahnya, bukti menunjukkan fakta bahwa penyebaran Webshell meningkat setelah ketersediaan tambalan pada 2 Maret, meningkatkan kemungkinan bahwa entitas tambahan secara oportunistik melompat untuk membuat eksploitasi dengan merekayasa balik pembaruan Microsoft sebagai bagian dari beberapa, independen kampanye.
"Sehari setelah rilis tambalan, kami mulai mengamati lebih banyak pelaku ancaman yang memindai dan membahayakan server Exchange secara massal," kata peneliti ESET, Matthieu Faou. Menariknya, semuanya adalah kelompok APT yang berfokus pada spionase, kecuali satu pencilan yang tampaknya terkait dengan kampanye penambangan koin (DLTminer). Masih belum jelas bagaimana distribusi eksploitasi terjadi, tetapi tidak dapat dihindari bahwa semakin banyak pelaku ancaman, termasuk operator ransomware, akan memiliki akses ke sana cepat atau lambat. "
Selain menginstal shell web, perilaku lain yang terkait atau terinspirasi oleh aktivitas Hafnium termasuk melakukan pengintaian di lingkungan korban dengan menerapkan skrip batch yang mengotomatiskan beberapa fungsi seperti pencacahan akun, pengambilan kredensial, dan penemuan jaringan.
Bukti Konsep Publik Tersedia
Memperumit situasi lebih lanjut adalah ketersediaan apa yang tampaknya menjadi eksploitasi bukti-konsep-publik (PoC) fungsional pertama untuk kekurangan ProxyLogon meskipun Microsoft berupaya untuk menghapus eksploitasi yang diterbitkan di GitHub selama beberapa hari terakhir.
"Saya telah mengkonfirmasi ada PoC publik yang beredar untuk eksploitasi RCE," kata peneliti keamanan Marcus Hutchins. "Ini memiliki beberapa bug tetapi dengan beberapa perbaikan saya bisa mendapatkan shell di kotak pengujian saya."
Juga menyertai rilis PoC adalah penulisan teknis terperinci oleh para peneliti Praetorian, yang merekayasa balik CVE-2021-26855 untuk membangun eksploitasi ujung ke ujung yang berfungsi penuh dengan mengidentifikasi perbedaan antara versi yang rentan dan yang ditambal.
Sementara para peneliti dengan sengaja memutuskan untuk menghilangkan komponen PoC yang penting, perkembangan tersebut juga menimbulkan kekhawatiran bahwa informasi teknis dapat lebih mempercepat pengembangan eksploitasi yang berfungsi, yang pada gilirannya memicu lebih banyak pelaku ancaman untuk meluncurkan serangan mereka sendiri.
Saat garis waktu peretasan yang meluas perlahan-lahan mengkristal, yang jelas adalah bahwa lonjakan pelanggaran terhadap Exchange Server tampaknya terjadi dalam dua fase, dengan Hafnium menggunakan rantai kerentanan untuk secara diam-diam menyerang target secara terbatas, sebelum peretas lain mulai menggerakkan hiruk pikuk. aktivitas pemindaian mulai 27 Februari.
Jurnalis keamanan siber Brian Krebs mengaitkan hal ini dengan prospek bahwa "berbagai kelompok penjahat siber mengetahui rencana Microsoft untuk mengirimkan perbaikan untuk kelemahan Exchange seminggu lebih awal dari yang mereka harapkan."
"Saran terbaik untuk mengurangi kerentanan yang diungkapkan oleh Microsoft adalah dengan menerapkan tambalan yang relevan," kata Slowik . "Namun, mengingat kecepatan di mana musuh mempersenjatai kerentanan ini dan periode waktu pra-pengungkapan yang luas ketika ini dieksploitasi secara aktif, banyak organisasi kemungkinan akan perlu beralih ke kegiatan tanggapan dan perbaikan untuk melawan gangguan yang ada."