1 февраля 2022 г.
2. Microsoft: взлом Exchange, критика уязвимости и протест против повышения цен на Microsoft 365
Microsoft — № 1 на мировом рынке ПО с годовым объемом продаж 168,1 млрд долл. — неизменный вектор атак киберпреступников всех мастей, и минувший год не стал исключением. Атака на Microsoft Exchange Server стала одной из крупнейших в истории: от нее пострадали 30 тысяч организаций в США и 60 тысяч во всем мире.
Десять хакерских группировок воспользовались четырьмя уязвимостями нулевого дня в локальных версиях Exchange, атаковав компании мелкого и среднего бизнеса.
Об атаке стало известно 2 марта, когда Microsoft объявила, что хакеры воспользовались ранее неизвестными уязвимостями для осуществления «ограниченных прицельных атак» на локальные серверы Exchange, что дало возможность взломать учетные записи электронной почты жертв и затем установить другое вредоносное ПО для долгосрочного доступа.
История приобрела ужасающий характер. Microsoft признала, что хакеры начали внедрять вирус-вымогатель DearCry на компьютеры жертв после взлома серверов Exchange, оставленных без патча. Сайт BleepingComputer сообщил, что по крайней мере от одной из жертв хакеры потребовали выкуп в 16 тыс. долл.
Взлом Exchange произошел спустя лишь несколько недель после того, как Microsoft расхваливала преимущества облачных услуг по сравнению с локальным ПО. «Облачные сервисы, такие как Microsoft 365, Azure и дополнительные премиум-уровни услуг, предлагаемые в рамках этих решений, улучшают возможности защиты пользовательской среды», — пишет Васу Джаккал (Vasu Jakkal), корпоративный вице-президент Microsoft по безопасности, комплаенсу и защите идентификации, в своем блоге в феврале, назвав печально известный взлом SolarWinds в декабре 2020 года «моментом истины».
Джордж Курц (George Kurtz), CEO компании CrowdStrike, один из самых ярых критиков уровня защищенности ПО Microsoft, заявил перед Сенатом США, что «системные слабые места» в «архитектуре аутентификации» Windows усугубили взлом SolarWinds. В интервью CRN в августе Курц пояснил: «В других технологиях вы не сможете просто украсть пароли и использовать эти зашифрованные пароли для аутентификации где-либо. Но в мире Microsoft вы буквально можете украсть зашифрованный пароль, даже не расшифровывая его, передать этот хэш в другую систему Microsoft и получить доступ к системе, как если бы вы знали, какой был пароль».
На квартальной пресс-конференции в августе Курц сказал инвесторам, что компания из списка Fortune 500, пострадав от серьезной атаки вымогателей, отказалась от средств безопасности Microsoft и внедрила платформу управляемого обнаружения и реагирования (MDR) CrowdStrike.
Курц не назвал компанию, но сообщил, что заказчик столкнулся с долгим и трудным процессом развертывания устаревших средств безопасности Microsoft, особенно в среде с малой пропускной способностью, тогда как важен быстрый отклик конечных точек.
Хакеры, стоящие за атакой на SolarWinds, снова воспользовались процессом аутентификации Microsoft в конце 2021 года: Microsoft сообщила, что та же группа атаковала более 140 реселлеров и поставщиков ИТ-услуг и скомпрометировала 14 из них в ходе новой кампании взлома, начавшейся с мая.
Хакеры, работающие на российскую Службу внешней разведки (СВР), взяли на прицел реселлеров и других поставщиков услуг, стремясь получить права административного доступа, чтобы шпионить за их клиентами; эта кампания длилась несколько месяцев, сообщила Microsoft 24 октября. А за несколько месяцев до этого хакерами СВР были скомпрометированы девять федеральных органов власти США и более 100 организаций частного сектора с использованием дефекта в платформе сетевого мониторинга Orion у SolarWinds.
«Мы полагаем, что в конечном счете группа Nobelium рассчитывала оседлать любой прямой доступ, который могут иметь реселлеры к ИТ-системам своих клиентов, и с большей легкостью выдавать себя за доверенного ИТ-партнера организации, чтобы получить доступ к ее собственным клиентам», — пояснил в блоге Том Бёрт (Tom Burt), корпоративный вице-президент Microsoft по безопасности и доверию клиентов. Хакерская группировка СВР известна также под названиями APT 29 и Cozy Bear.
Собственные клиенты реселлеров и поставщиков услуг также были целью атак хакеров СВР, заявила Microsoft. Клиенты делегировали административные права реселлерам и поставщикам услуг, чтобы позволить VAR’у управлять их собственными клиентами так, как если бы он был их администратором, пояснила Microsoft.
Украв учетные данные и взломав аккаунты на уровне поставщика услуг, хакеры СВР могли использовать делегированные административные права, чтобы расширять фронт атаки дальше через внешние VPN или специальные инструменты, дающие доступ к сети, говорит Microsoft.
Помимо проблем с безопасностью Microsoft столкнулась с негативной реакцией партнеров из-за 20%-ного увеличения стоимости месячной подписки на Microsoft 365, которое планировалось ввести в марте 2022 года.
Онлайн-петиция, опубликованная главой VAR-компании, призывала Microsoft пересмотреть 20%-ное увеличение платы за подписку на Microsoft 365; эта петиция собрала более 1765 подписей.
Помесячная подписка «была неоценимым инструментом, помогающим снизить затраты во время COVID-19 и других экономических трудностей. Введение дополнительных 20% на эти типы SKU выглядит почти наказанием по своему характеру, а учитывая уже введенное 15%-ное увеличение — и вовсе крайностью», — говорится в петиции на Change.org.
«Если эта политика вступит в силу, — говорится далее, — она вызовет эффект дальнейшего распространения у наших поставщиков, таких как Ingram, Synnex, Pax8 и многих других, поскольку они всячески пытаются внедрить такое изменение в свои порталы автоматизации закупок и протащить дополнительное изменение цен. Помогите нам добиться, что это повышение не вступит в силу в 2022 году, подписав петицию».
1. Kaseya: атака шифровальщика REvil ударила по каналу MSP
Уикенд празднования 4 июля принес поставщикам управляемых услуг иные фейерверки в виде новостей об одном из крупнейших ограблений в истории ИТ-отрасли, совершенном с помощью вирруса-вымогателя.
Kaseya, чью платформу используют десятки тысяч MSP, стала жертвой невиданного взлома ее локального инструмента удаленного мониторинга и администрирования VSA, совершенного группой российских хакеров REvil.
В результате кибератаки были взломаны системы более 60 поставщиков управляемых услуг и 1500 их клиентов, компьютеры которых были полностью блокированы шифровальщиком, а киберпреступники потребовали за дешифрование рекордный выкуп в 70 млн долл.
Главный управляющий Kaseya Фред Воккола (Fred Voccola) сообщил CRN, что вымогатели требовали выкуп напрямую у конечных клиентов, минуя Kaseya и ее партнеров-MSP.
В результате атаки через Kaseya более 36 тысяч MSP лишились доступа к ее флагманскому продукту VSA почти на десять дней, пока компания работала над патчем для локальной версии продукта. В качестве меры предосторожности Kaseya отключила также более широко используемую SaaS-версию VSA.
Kaseya сообщила, что киберпреступники смогли использовать уязвимости в VSA, чтобы пройти аутентификацию и запускать выполнение произвольных команд. Это позволило хакерам REvil использовать стандартный функционал VSA и внедрять шифровальщик на компьютеры конечных пользователей.
Специалист Голландского института изучения уязвимостей (DIVD) предупреждал компанию об одной из уязвимостей, которую хакеры REvil в итоге использовали почти три месяца спустя. Kaseya устранила четыре из уязвимостей, обнаруженных DIVD, выпустив для них патчи 10 апреля и 8 мая, но три уязвимости, согласно данным DVID, оставались неустраненными до конца июня.
Выстроенная таким образом, атака стала еще одним напоминанием, что MSP это лакомая мишень для киберпреступников, которые получают возможность разом атаковать сотни, а то и тысячи компаний через одного поставщика услуг.
Воккола, со своей стороны, принес извинения партнерам-MSP после атаки. «То обстоятельство, что нам пришлось отключить VSA, очень огорчает меня лично, — сказал он. — Я понимаю, что подвел это сообщество, подвел свою компанию, и наша компания подвела вас».
Воккола сказал CRNtv в июле, что Kaseya выплатит «миллионы долларов возмещения ущерба всем своим партнерам, пострадавшим от этого, независимо от того, подверглись ли они взлому или просто оказались отключены в течение двух, трех, четырех, пяти или шести дней. Мы решим этот вопрос с финансовой стороны». Но в интервью CRN, опубликованном 2 ноября, Воккола не стал обсуждать, возместит ли Kaseya ущерб MSP, пострадавшим от взлома. «Мы не раскрываем, что мы делаем в финансовом отношении», — сказал он.
Майкл Крин (Michael Crean), президент и CEO компании Solutions Granted, мастер-поставщика услуг управления ИБ, помогавшей пострадавшим от атаки, сказал CRN, что сообществу MSP нужно «стать более требовательным» к поставщикам удаленного мониторинга и администрирования (RMM). «В таком уж мире мы живем, к сожалению», — сказал он.
© 2022. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Стивен Берк, CRN/США