Serangan pada server yang rentan hanya meningkat sejak rilis pembaruan untuk menutup kerentanan. Microsoft mengaitkan serangan asli ke grup Hafnium asal China, dan (per 2 Maret) tidak ada contoh eksploitasi kerentanan oleh orang lain. Kemungkinan besar, server yang belum ditambal akan diserang oleh semua orang untuk waktu yang lama. Masalah terpisah adalah pemasangan pintu belakang setelah meretas server: tambalan dapat menutup titik masuk awal, tetapi mereka tidak akan membantu organisasi yang sudah diserang. Semuanya sangat buruk sehingga operator server Microsoft Exchange disarankan untuk berasumsi bahwa mereka telah disusupi.
Sumber informasi:
- Microsoft, , , .
- .
- Volexity, .
- « », .
Menurut Volexity, serangan pertama terhadap server email Microsoft Exchange ditemukan pada awal Januari tahun ini. Investigasi lebih lanjut menemukan empat kerentanan, salah satunya ( CVE-2021-26855 ) sudah cukup menyebabkan kerusakan serius. Kerentanan milik kelas Pemalsuan Permintaan Sisi Server dan dapat melewati sistem otorisasi di server. Dengan bantuannya, penyerang berhasil membongkar isi kotak surat. Kerentanan memengaruhi versi Microsoft Exchange Server 2013, 2016, dan 2019, yang semuanya didukung oleh vendor.
Tiga kerentanan lagi memungkinkan Anda mendapatkan pijakan di sistem dengan cara yang berbeda. Secara khusus, kerentanan CVE-2021-27065memungkinkan pengguna yang berwenang untuk menimpa file apa pun di server. Dalam kombinasi dengan otorisasi bypass, kerentanan ini digunakan untuk membuka shell web untuk kontrol selanjutnya dari server yang disusupi. Eksploitasi dua kerentanan ditampilkan dalam video ini dari tim DEVCORE (lihat situs web mereka untuk informasi lebih lanjut ):
Pengungkapan kerentanan dan serangan aktif hanyalah awal dari cerita: sepertinya kita akan membahasnya sepanjang tahun ini. Serangan tersebut secara dramatis meningkatkan biaya pengamanan layanan di lokasi dan kemungkinan akan memaksa lebih banyak organisasi untuk beralih ke cloud, di mana vendor bertanggung jawab atas keamanan. Ini bukan hanya tentang pemasangan tambalan yang tepat waktu (meskipun dengan ini ada masalah), tetapi juga tentang menutup pintu belakang yang sudah terpasang.
Jelas, Anda perlu menggunakan perlindungan lanjutan. Serangan pertama terdeteksi hanya karena pendeteksian lalu lintas yang luar biasa besar ke arah yang tidak standar, dan dari sudut pandang server email, tidak ada yang tidak biasa yang terjadi... Deteksi peluncuran kode yang mencurigakan dengan proses tepercaya, perlindungan terhadap modifikasi file, termasuk saat mencoba mengenkripsinya - semua ini diperlukan jika terjadi serangan terhadap perangkat lunak yang rentan. Jika perkiraan awal jumlah organisasi yang diserang benar, situasinya dapat dibandingkan dengan penemuan lubang di router pengguna, ketika ada puluhan dan ratusan ribu calon korban. Hanya potensi kerusakan dalam kasus ini yang jauh lebih tinggi.
Apa lagi yang terjadi
Serangan baru melalui saluran samping, berdasarkan SPECTER: dalam praktiknya , metode mencuri rahasia ditampilkan , kali ini dengan eksploitasi bus yang menghubungkan inti prosesor terpisah (prosesor Intel terpengaruh, AMD memiliki teknologi yang berbeda). Sementara itu, eksploitasi kerentanan SPECTER tampaknya telah jatuh ke tangan penjahat dunia maya.
BleepingComputer menggambarkan non-standar contoh ransomware terenkripsi, di mana ia menyarankan menggunakan Perselisihan server obrolan untuk berkomunikasi dengan penyerang.
Ditemukankebocoran data dari server Layanan Penumpang SITA - kontraktor dari banyak maskapai penerbangan di seluruh dunia. Data frequent flyer dari aliansi Star Alliance dan OneWorld kemungkinan besar akan terpengaruh.
Contoh menarik dari serangan pada sistem pengenalan gambar menggunakan pembelajaran mesin. Untuk mengacaukan sistem, cukup beri tanda di depan objek dengan nama item lain. Lihat juga diskusi tentang Habré .
Merilis browser Google Chrome 89: pada rilis berikutnya, kerentanan zero-day ditutup (vendor tidak mengungkapkan detailnya). Deskripsi yang
menarik kerentanan dalam sistem otorisasi Microsoft. Saat Anda mencoba mengubah kata sandi, kode otorisasi dikirim ke perangkat Anda, yang harus dimasukkan di situs. Peneliti tidak menemukan masalah sepele dalam mekanisme ini yang memungkinkan serangan brute force brute force, tetapi menemukan masalah nontrivial: mengirimkan beberapa kode otorisasi secara bersamaan dalam waktu yang sangat singkat.
Kecelakaan Formula E baru-baru ini disebabkan oleh bug perangkat lunak. Jika rem depan rusak, sistem harus menerapkan rem pada roda belakang. Dalam kasus pilot Edoardo Mortara, ini tidak terjadi: mobil listrik tidak sesuai dengan belokan dan melaju ke pagar pelindung.
Artikel oleh Brian Krebs mengeksplorasipasar gelap untuk ekstensi browser. Mereka dibeli untuk memungkinkan pengguna bergabung dengan botnet, yang kemudian digunakan sebagai layanan VPN ilegal.