/* Urbjam un lāpam */

Ar ko nodarboties decembrī, kamēr aiz loga paiet gada tumšākās dienas? Kur meklēt Ziemassvētku garu, kad nu jau otro gadu tie nāk ar pandēmijas piegaršu?

Caurumi.lv atbilde: piedalīties kiber-adventē! Esam sagatavojuši četrus Ziemassvētku pasākumus, kas dod iespēju ne tikai jautri pavadīt laiku un iemācīties jaunas iemaņas, bet iespējams arī vinnēt kādu dāvanu vai pat uzsākt jaunu karjeru!

1. Advent of Cyber (TryHackMe)
2. Advent of Code
3. Advent Bananza (OverTheWire)
4. Holiday Hack Challenge (SANS)
5. Vai solījām četrus pasākumus? Oops, off-by-one kļūda.

2021. gads Exchange adminiem atnesa daudz darba.

Iepriekš par šiem serveriem varēja daudz nedomāt. Kā jau visos epasta risinājumos, ik pa laikam bija jāpavēro diska vieta un jāpielāgo spam filtri, bet savādāk kārtīgi sakonfigurēts Exchange serveru pāris varēja strādāt gadiem bez būtiskām izmaiņām.

Tā tas bija līdz šī gada martam, kad ķīniešu pētnieks Orange Tsai publicēja ProxyLogon ievainojamību kopu un daudzas organizācijas atklāja, ka viņu serveri ir tikuši uzlauzti caur šīm ievainojamībām vēl pirms Microsoft izlaida savus ielāpus.

Nu jau pusgada laikā katru mēnesi tiek publicēti jauni ielāpi, kas labo kārtējos caurumus. Daudzas no šīm ievainojamībām atklāja tas pats pētnieks, Orange Tsai, kas prezentēja savu metodoloģiju DEF CON konferencē: ProxyLogon — Just Tip of the Iceberg, New Attack Surface on Exchange Server. Bet Exchange auditēšanai ir pievērsušies arī citi pētnieki, kompānijas un pat NSA.

Nupat 9. novembrī tika atklāta kārtējā kritiskā ievainojamība CVE-2021-42321, ko atkal uzbrucēji izmantojuši vēl pirms Microsoft patchu publicēšanas un kas noved pie Remote Code Execution (attālinātas patvaļīgā koda palaišanas), ļaujot uzbrucējiem pārņemt kontroli pār uzlauzto serveri.

Ņemot vērā lielo ievainojamību skaitu un daudzas automatizētās uzbrukumu kampaņas, visiem Microsoft Exchange administratoriem jāzin kā atpazīt uzlauztu serveri un kā rīkoties, ja ir aizdomas par servera inficēšanu.

Apple ieplānoto Child Safety funkcionalitāti jau pieminējām vienā no iepriekšējām Kiberpodkāsta epizodēm.

Neural Hash algoritms

Šonedēļ tika veiksmīgi atgūts (reverse engineered) algoritms, ko Apple izmantos, bērnu pornogrāfijas materiālu atpazīšanai iCloud mākoņglabātuvē. Šis algoritms darbosies uz iCloud pirms fotogrāfiju augšupielādes mākonī un pārbaudīs attēlu līdzību zināmiem aizliegtiem materiāliem, izmantojot neirālās hešsummas (Neural Hash).

Pētnieki atklāja, ka bilžu līdzības pārbaudē lietotais algoritms pieļauj hash collision tipa uzbrukumus, t.i. uzbrucēji var izveidot attēlu, ko algoritms uzskatīs par līdzīgu izvēlētajam hešam no CSAM datubāzes, lai gan reāli nekādus pornogrāfiskos materiālus šis attēls nesaturēs un vispār no cilvēku viedokļa izskatīsies ļoti tuvu jebkurai iepriekš izvēlētajai bildei.

Pavērtās diskreditācijas iespējas

Hash collissions iespējamība paver šāda veida uzbrukumu pret žurnālistiem, politiķiem vai citām personām, ja uzbrukuma mērķis ir diskreditācija un reputācijas graušana:

1. paņemt kādu nevainīgu bildi, piemēram ar vāveri, kurpi vai bumbu
2. pamainīt tajā dažus pikseļus līdz neirālais hešs pietuvojas kādam aizliegtam fotoattēlam no CSAM datubāzes
3. nosūtīt bildi, kas cilvēku redzes līmenī joprojām atgādina vāveri, kurpi vai bumbu, kādam mērķim (piem. politiķim vai žurnālistam)
4. sagaidīt, ka — mērķim saglabājot bildi savā telefonā (kuru arī viņš uzskatīs par vāveres, kurpes vai bumbas attēlu) — upura iPhone atpazīs bildi kā bērnu pornogrāfiju un ziņos par to Apple
5. Apple, saņemot pietiekami lielu skaitu ziņojumu (šobrīd 30), nodos šo informāciju policijai
6. policija uzsāks lietas izmeklēšanu pret izvēlēto upuri, radot būtiskus reputācijas zaudējumus pat neskatoties uz to, ka nekādi bērnu pornogrāfiskie materiāli galu galā atrasti netiks

Apple reakcija

Apple apgalvo, ka algoritma versija, kas pieejama pētniekiem, nav aktuāla un gala versija šāda veida uzbrukumus nepieļaus.

Ir izlabotas 51 ievainojamības Microsoft produktos, septiņas no tām kritiskas un viena, kas jau tiek aktīvi ekspluatēta savvaļā.

Hyper-V escape caur ping paketi

Remote Code Execution tipa ievainojamības mūsdienu TCP/IP stekā neuzrodas bieži, bet šoreiz Hyper-V tīklošanā atrasta tieši tāda ievainojamība.

CVE-2021-26424 ļauj izkļūt ārā no Hyper-V virtualizācijas, t.i. inficēt hosta OS, nosūtot vienu IPv6 ping paketi.

PrintNightmare sāgas turpinājums

Microsoft norāda, ka ir ieviestas mitigācijas Print Spooler un Point and Print servisos: CVE-2021-36936. Šie labojumi izlaisti pat vairs neatbalstāmajai Windows 7.

Diemžēl, izskatās ka šajā gadījumā turpinās komunikācijas problēmas starp Microsoft un drošības pētniekiem. Lai gan no drošības pētnieku perspektīvas, visi Print Spooler caurumi izskatās radniecīgi, Microsoft tos klasificē ar dažādiem identifikatoriem: CVE-2021-1675, CVE-2021-34481, CVE-2021-34483, CVE-2021-34527, CVE-2021-36958, CVE-2021-36936.

Katrs Microsoft izlaistais atjauninājums atrisina citu problēmu, bet atsevišķi PoC (Proof of Concept — koda piemēri, kas demonstrē ievainojamības eksistenci) turpina darboties.

Jūlija sākumā simtiem uzņēmumu atklāja, ka viņu sistēmas ir tikušas nokriptētas un ka par vienas iekārtas datu atgūšanu tiek pieprasīta $40,000 liela atlīdzība.

Lai gan šāda veida izspiešanas gadījumi nav jaunums, parasti tos izraisa kiberhigiēnas trūkums uzņēmumā: kāds darbinieks uzklikšķinājis uz epasta pielikumu, nepārbaudot tā paplašinājumu; serveriem nav laicīgi uzinstalēti ražotāja atjauninājumi; organizācijas lietotājiem bija atļauts pieslēgties bez otrā faktora, padarot iespējamu paroļu minēšanu.

Taču šoreiz neviens no “parastajiem aizdomās turamajiem” nebija pie vainas.

Kas ir Kaseya VSA?

Skartās organizācijas apvienoja lietotā programmatūra - Kaseya VSA (Virtual System Administrator). Taču uzņēmumi varēja par šo programmatūru pat nezināt, jo viņi paši to nebija instalējuši.

Kaseya VSA ir risinājums, ko izmanto Managed Service Providers — organizācijas, kas apkalpo citu uzņēmumu IT infrastruktūru kā ārpakalpojuma sniedzēji. Šajā incidentā bija uzlauzti vien kādi 40 Kaseya klienti, taču tā kā katrs no viņiem nodrošināja IT darbību desmitiem līdz simtiem citu uzņēmumu, tad gala sistēmu skaits, kuras tika nošifrētas, un uzņēmumu skaits, kuru darbība tika paralizēta, izrādījies masīvs.

Kriptovīrusi kā serviss

Uzbrukums kļuva iespējams pateicoties inovatīvam biznesa modelim: ransomware-as-a-service. Lai veiktu veiksmīgu izspiešanas operāciju, ir nepieciešamas specifiskas zināšanas un prasmes:

1. ir jāiegūst pieeja organizācijas tīklam, jāspēj veikt sākotnējo tiesību paaugstināšanu (privilege escalation)
2. jāpārlec uz citām domēna sistēmām, galu galā nonākot līdz Domain Controller (šo procesu sauc par lateral movement)
3. visām domēna sistēmām jāizplata jaunas komandas, kas liek atslēgt antivīrusu un dzēst rezerves kopijas
4. jāuzprogrammē kriptovīruss, kas izmanto publisko kriptogrāfiju, un tas jāpalaiž
5. visbeidzot nepieciešams “lietotāju atbalsta” portāls, caur kuru nokriptēto sistēmu īpašnieki varētu sazināties, ja rodas problēmas ar kriptovalūtas pārskaitīšanu vai datu atgūšanu

Kriptovīrusi-kā-serviss modelis nodala atbildību par šiem uzdevumiem. Par visiem tehniskajiem jautājumiem atbild un uzbrukumam nepieciešamo infrastruktūru nodrošina RaaS servisa īpašnieks (kas savukārt deleģē uzdevumus citiem pagrīdes tirgus dalībniekiem, vai pat nopērk nepieciešamo funkcionalitāti kā atsevišķu moduli).

Operatoriem tad par šiem jautājumiem nav jāuztraucas un jādomā tikai par to, kuras organizācijas izvēlēties par nākamo mērķi un kā cik lielu izpirkuma naudu no viņiem prasīt.

Izspiedēju izvirzītās prasības

Pret Kaseya klientiem vērstie uzbrukumi notika izmantojot REvil ransomware grupas platformu. Pēc REvil vārdiem tika nokriptēts 1'000'000 individuālu sistēmu, par šo datu atgūšanu pieprasot:

• $70 mil par universālu kriptoatslēgu
• $5 mil par viena Managed Service Provider sistēmām
• $40 000 par individuālas sistēmas atgūšanu