Ada krisis "lambat" dalam keamanan siber, seperti potensi serangan terhadap kode booting pada ponsel cerdas dan komputer seluler - apa pun yang memerlukan akses fisik ke perangkat keras. Fakta bahwa akses semacam itu tidak perlu juga tidak selalu menjadi masalah yang harus ditangani "kemarin": bahkan kerentanan kritis sering dieksploitasi dengan banyak peringatan dan kesulitan tambahan dalam perjalanan ke data penting. Serangan pada server email Microsoft Exchange cenderung menjadi contoh buku teks dari masalah yang berkembang pesat dan paling berbahaya bagi calon korban.
Empat Kerentanan Pertukaran yang Dieksploitasi Secara Aktif Terungkap3 Maret. Minggu kedua "krisis pos" sangat penting. Kode demo yang mengeksploitasi kerentanan telah diterbitkan di Github. Proof-of-Concept segera dihapus , dan Github (dan Microsoft, sebagai pemilik layanan) dikritik. Beberapa penelitian sekaligus melaporkan serangan terhadap server email tidak hanya oleh satu, tetapi setidaknya selusin grup yang berbeda. 13 Maret diketahui tentang penggunaan server yang sudah dikompromikan untuk serangan dengan enkripsi data dan pemerasan. Pada saat yang sama, penemu kerentanan mengklarifikasi timeline investigasi: tampaknya, kerentanan Exchange utama ditemukan selama audit pada bulan Desember.
Garis waktu rinci perkembangan peristiwa dipublikasikan di situs Brian Krebs. Menurut dia, vendor diberitahu tentang kerentanan hampir secara bersamaan oleh dua perusahaan, secara independen satu sama lain. Pada saat yang sama, Volexity memberi tahu Microsoft tentang penyelidikan serangan nyata. Devcore menemukan dua dari empat kerentanan tanpa menyadari eksploitasinya dalam audit keamanan Exchange pada bulan Oktober tahun lalu. Minggu lalu, Devcore menerbitkan kronologi terperinci dari interaksinya sendiri dengan Microsoft: pada awal Desember, mereka menemukan cara untuk melewati otentikasi di server email, pada Malam Tahun Baru, mereka menemukan kerentanan dalam menulis data sewenang-wenang ke server dan dengan demikian disimulasikan serangan yang bekerja.
Pada akhir Januari, Trend Micro melaporkan kasus peretasan server email dengan organisasi kerangka web untuk kontrol berikutnya atas server tersebut, tetapi mengaitkan serangan tersebut dengan kerentanan lain yang sudah ditutup pada saat itu. Pada pertengahan Februari, Microsoft mengumumkan kepada Devcore bahwa mereka berencana untuk menutup kerentanan selama rilis tambalan yang direncanakan yang dijadwalkan pada 9 Maret. Tetapi pada akhirnya, mereka yang sebelumnya meretas server secara selektif beralih ke taktik pencarian skala besar dan meretas organisasi yang rentan. Hal ini, pada gilirannya, memaksa Microsoft untuk mendistribusikan patch enam hari sebelum Patch Tuesday, 3 Maret. Pada saat patch didistribusikan, jumlah server email yang diserang diperkirakan mencapai puluhan ribu.
Pada 12 Maret, Microsoft, mengutip RiskIQ, memberikan perkiraan keseluruhan dari jumlah server yang berpotensi rentan. Per 1 Maret, ada sekitar 400 ribu orang. Pada 9 Maret, 100 ribu server tidak ditambal, pada 12 Maret jumlah mereka turun menjadi 82 ribu. Pada saat yang sama, drama terpisah muncul dengan penerbitan PoC di Github. Setelah tambalan dirilis, hanya masalah waktu sebelum bukti konsep direkayasa ulang.
Kode untuk serangan di Exchange diterbitkan pada 10 Maret, dan segera dilarang di GitHub, yang menerima sebagian kritik dari Microsoft: apakah itu penyensoran? Anti-sensor mulai memposting sebagai tindakan balasan salinan kode di akun mereka. Jelas bahwa Internet tidak berfungsi seperti itu: apa yang pernah dipublikasikan di dalamnya, tidak dapat lagi dipublikasikan. Tetapi ada juga argumen tandingan: eksploitasi yang sudah selesai, tentu saja, berguna untuk tujuan "penelitian" dan sebagai bagian dari rangkaian untuk menguji jaringan perusahaan, tetapi untuk ratusan ribu organisasi dengan lubang terbuka, itu akan membawa lebih banyak lagi masalah. Mereka sekarang sedang diserang oleh semua orang, dan kemungkinan besar perusahaan yang memiliki sumber daya sangat minim untuk memecahkan masalah keamanan telah jatuh di bawah distribusi.
Jika Anda merasa cerita ini belum cukup merusak, inilah poin lainnya. Sebuah studi oleh Palo Alto memberikan beberapa detail web shell yang diinstal pada server yang disusupi. Dari perincian ini, seorang karyawan Devcore yang dikenal dengan julukan Orange Tsai membuat asumsi bahwa exploit yang dia kembangkan digunakan dalam serangan nyata sebelum patch dirilis. Dia secara pribadi membagikan demo exploit dengan Microsoft pada awal Januari. Bagaimana dia bisa sampai di tangan satu (atau lebih) kelompok penyerang? Menurut untukDi media, kebocoran terjadi setelah Microsoft berbagi informasi dengan mitranya. Eksploitasi itu dioperasikan hampir tidak berubah, dan itu diidentifikasi oleh tali "oranye" yang dijahit ke dalamnya, ditinggalkan oleh Orange Tsai.
Nah, sebagai kesimpulan, mari kita bicara tentang pemerasan. Menutup kerentanan tidak akan membantu jika server telah disusupi, dan pemiliknya tidak dapat mengidentifikasi keberadaan kerangka web. Tampaknya pintu belakang tipikal yang ditinggalkan oleh kelompok peretas asli sekarang sedang dieksploitasi oleh ransomware. Akses digunakan untuk mengenkripsi data, dan teksnya menggunakan istilah DearCry, referensi ke serangan ransomware WannaCry 2017. Vonis sementara singkat: semuanya sangat buruk. Sangat buruk bahwa Microsoft telah merilis tambalanuntuk versi Exchange Server 2010 yang tidak didukung untuk waktu yang lama. Dan kami masih belum tahu tentang konsekuensi serangan, yang mungkin disertai dengan pencurian korespondensi surat, peretasan server lain di jaringan perusahaan, dan sebagainya. Nama-nama organisasi yang terpengaruh sudah mulai dikenal. Diantaranya, misalnya, parlemen Norwegia .
Apa lagi yang terjadi
BleepingComputer melaporkan taktik baru untuk scammer yang menggembar-gemborkan "hadiah cryptocurrency" di media sosial. Alih-alih meniru Elon Musk, mereka mengiklankan penipuan secara langsung melalui mekanisme Twitter berbayar.
Google menerbitkan kode demo untuk tujuan penelitian yang mengeksploitasi kerentanan Spectre. Serangan praktis menunjukkan pencurian konten memori melalui browser Chrome 88 dengan kecepatan 1 kilobyte per detik.
Serangkaian pemutakhiran untuk produk Microsoft, yang dirilis pada 9 Maret, mengatasi kerentanan zero-day di Internet Explorer. Dan pengguna mengeluhbahwa pembaruan lain dari set ini membuat Windows crash menjadi layar biru ketika mencoba mencetak sesuatu ke printer.
Video dalam tweet di atas menunjukkan cara memicu penolakan layanan di sistem multimedia mobil dengan menghubungkan keyboard USB ke port. Kerentanan
kritis pada perangkat BIG-IP dan BIG-IQ berkinerja tinggi dari Jaringan F5 memungkinkan melewati mekanisme otorisasi.