Microsoft ha condiviso i dettagli tecnici su una vulnerabilità di sicurezza critica ora risolta e attivamente sfruttata che interessa il servizio di trasferimento file gestito di SolarWinds Serv-U che ha attribuito con "alta fiducia" a un attore di minacce che opera fuori dalla Cina.
A metà luglio, la società con sede in Texas ha rimediato a un difetto di esecuzione del codice remoto ( CVE-2021-35211 ) che era radicato nell'implementazione di Serv-U del protocollo Secure Shell (SSH), che potrebbe essere abusato dagli aggressori per eseguire codice arbitrario sul sistema infetto, inclusa la possibilità di installare programmi dannosi e visualizzare, modificare o eliminare dati sensibili.
"Il server Serv-U SSH è soggetto a una vulnerabilità di esecuzione del codice remoto pre-autenticazione che può essere sfruttata in modo semplice e affidabile nella configurazione predefinita", ha affermato il team di Microsoft Offensive Research e Security Engineering in un articolo dettagliato che descrive l'exploit.
"Un utente malintenzionato può sfruttare questa vulnerabilità collegandosi alla porta SSH aperta e inviando una richiesta di connessione di pre-autenticazione non valida. Se sfruttata con successo, la vulnerabilità potrebbe quindi consentire all'aggressore di installare o eseguire programmi, come nel caso dell'attacco mirato abbiamo riportato in precedenza", hanno aggiunto i ricercatori.
Mentre Microsoft ha collegato gli attacchi a DEV-0322, un collettivo con sede in Cina citando "vittimologia, tattiche e procedure osservate", la società ha ora rivelato che la vulnerabilità remota e pre-autenticazione derivava dal modo in cui il processo Serv-U ha gestito l'accesso violazioni senza terminare il processo, rendendo così semplice eseguire tentativi di sfruttamento furtivi e affidabili.
"La vulnerabilità sfruttata è stata causata dal modo in cui Serv-U ha inizialmente creato un contesto OpenSSL AES128-CTR", hanno affermato i ricercatori. "Questo, a sua volta, potrebbe consentire l'uso di dati non inizializzati come puntatore a una funzione durante la decrittazione dei successivi messaggi SSH".
"Pertanto, un utente malintenzionato potrebbe sfruttare questa vulnerabilità collegandosi alla porta SSH aperta e inviando una richiesta di connessione pre-autenticazione non valida. Abbiamo anche scoperto che gli aggressori stavano probabilmente utilizzando DLL compilate senza la randomizzazione del layout dello spazio degli indirizzi (ASLR) caricate dal Serv- U per facilitare lo sfruttamento", hanno aggiunto i ricercatori.
ASLR fa riferimento a un meccanismo di protezione utilizzato per aumentare la difficoltà di eseguire un attacco di overflow del buffer disponendo in modo casuale le posizioni dello spazio degli indirizzi in cui gli eseguibili di sistema vengono caricati in memoria.
Microsoft, che ha rivelato l'attacco a SolarWinds, ha affermato di aver raccomandato di abilitare la compatibilità ASLR per tutti i binari caricati nel processo Serv-U. "ASLR è una mitigazione di sicurezza critica per i servizi che sono esposti a input remoti non attendibili e richiede che tutti i binari nel processo siano compatibili per essere efficaci nell'impedire agli aggressori di utilizzare indirizzi hardcoded nei loro exploit, come è stato possibile in Serv-U ", hanno detto i ricercatori.
Semmai, le rivelazioni evidenziano la varietà di tecniche e strumenti utilizzati dagli attori delle minacce per violare le reti aziendali, incluso il piggybacking su software legittimo.
Nel dicembre 2020, Microsoft ha rivelato che un gruppo di spionaggio separato potrebbe aver approfittato del software Orion del fornitore di infrastrutture IT per eliminare una backdoor persistente chiamata Supernova sui sistemi infetti. La società di sicurezza informatica Secureworks ha collegato le intrusioni a un attore di minacce collegato alla Cina chiamato Spiral.
Commenti
Posta un commento