Microsoft: exploits van Log4j breiden cryptomining uit tot regelrechte diefstal

Hoor van CIO’s, CTO’s en andere C-level en senior executives over data en AI-strategieën op de Future of Work Summit op 12 januari 2022. Leer meer


Microsoft zei zaterdag dat de exploits tot nu toe van de kritieke Apache Log4j-kwetsbaarheid, bekend als Log4Shell, verder gaan dan cryptomuntmijnbouw en tot serieuzer terrein, zoals diefstal van inloggegevens en gegevens.

De technologiegigant zei dat zijn threat intelligence-teams pogingen hebben gevolgd om misbruik te maken van de kwetsbaarheid voor de uitvoering van externe code (RCE), die laat op donderdag werd onthuld. De kwetsbaarheid treft Apache Log4j, een open source logging-bibliotheek die breed wordt ingezet in cloudservices en bedrijfssoftware. Veel toepassingen en services die in Java zijn geschreven, zijn potentieel kwetsbaar.

Meer serieuze exploits

Aanvallen die machines overnemen om cryptovaluta’s zoals Bitcoin te minen, ook wel cryptojacking genoemd, kunnen leiden tot tragere prestaties.

Naast het minen van munten omvatten Log4j-exploits die Microsoft tot nu toe heeft gezien, activiteiten zoals diefstal van inloggegevens, zijwaartse verplaatsing en gegevensexfiltratie. Naast het leveren van enkele van de grootste platforms en cloudservices die door bedrijven worden gebruikt, is Microsoft een grote cyberbeveiligingsleverancier op zich met 650.000 beveiligingsklanten.

in zijn na Zaterdag zei Microsoft dat “op het moment van publicatie de overgrote meerderheid van de waargenomen activiteit scans was, maar er zijn ook exploitatie- en post-exploitatie-activiteiten waargenomen.”

In het bijzonder: “Microsoft heeft activiteiten waargenomen, waaronder het installeren van muntmijnwerkers, Cobalt Strike om diefstal van inloggegevens en zijwaartse beweging mogelijk te maken, en het exfiltreren van gegevens uit gecompromitteerde systemen”, aldus het bedrijf.

Microsoft gaf geen verdere details over deze aanvallen. VentureBeat heeft contact opgenomen met Microsoft voor bijgewerkte informatie.

Volgens een na van Netlab 360 hebben aanvallers Log4Shell uitgebuit om malware te implementeren, waaronder Mirai en Muhstik, twee Linux-botnets die worden gebruikt voor cryptomining en distributed denial of service (DDoS)-aanvallen.

Op gedrag gebaseerde detectie

Als reactie op de kwetsbaarheid zei Microsoft dat beveiligingsteams zich moeten concentreren op meer dan alleen het voorkomen van aanvallen – en ook moeten zoeken naar indicatoren van een exploit met behulp van een op gedrag gebaseerde detectiebenadering.

Omdat de Log4Shell-kwetsbaarheid zo breed is en het implementeren van mitigatie in grote omgevingen tijd kost, “moedigen we verdedigers aan om te zoeken naar tekenen van post-exploitatie in plaats van volledig te vertrouwen op preventie”, zei het bedrijf in zijn post. “Waargenomen activiteiten na exploitatie, zoals het delven van munten, zijwaartse bewegingen en Cobalt Strike, worden gedetecteerd met op gedrag gebaseerde detecties.”

Cobalt Strike is een legitiem hulpmiddel voor penetratietesten dat in de handel verkrijgbaar is, maar cybercriminelen zijn volgens een recent onderzoek in toenemende mate gebruik gaan maken van het hulpmiddel. verslag doen van van Proofpoint. Het gebruik van Cobalt Strike door bedreigingsactoren is in 2020 jaar op jaar met 161% gestegen en de tool is in 2021 “vaker dan ooit in Proofpoint-dreigingsgegevens verschenen”, aldus het bedrijf.

Wat betreft de eigen producten van Microsoft die mogelijk kwetsbaarheden hebben door het gebruik van Log4j, heeft het bedrijf gezegd dat het het probleem onderzoekt. in een aparte blogpost Zaterdag schreef het Microsoft Security Response Center dat zijn beveiligingsteams “een actief onderzoek hebben gedaan naar onze producten en diensten om te begrijpen waar Apache Log4j kan worden gebruikt.”

“Als we enige impact op de klant vaststellen, zullen we de betrokken partij op de hoogte stellen”, zegt de Microsoft-post.

De fout herstellen

De Log4Shell-kwetsbaarheid heeft invloed gehad op versie 2.0 tot en met versie 2.14.1 van Apache Log4j, en organisaties wordt geadviseerd om zo snel mogelijk te updaten naar versie 2.15.0. leveranciers waaronder: Cisco, VMware, en rode Hoed adviezen hebben uitgebracht over mogelijk kwetsbare producten.

“Iets om in gedachten te houden over deze kwetsbaarheid is dat u mogelijk risico loopt zonder het te weten”, zegt Roger Koehler, vice-president van threat ops bij het bedrijf voor beheerde detectie en respons. Jager, in een e-mail. “Veel bedrijfsorganisaties en de tools die ze gebruiken, bevatten mogelijk het Log4j-pakket dat is gebundeld, maar die opname is niet altijd evident. Als gevolg hiervan zijn veel bedrijfsorganisaties overgeleverd aan de genade van hun softwareleveranciers om hun unieke software waar nodig te patchen en bij te werken.”

Patches voor softwareproducten moeten echter door leveranciers worden ontwikkeld en uitgerold, en het kost bedrijven dan extra tijd om de patches te testen en te implementeren. “Het proces kan behoorlijk lang duren voordat bedrijven hun systemen daadwerkelijk hebben gepatcht”, zei Koehler.

Om de risico’s in de tussentijd te helpen verminderen, zijn er tijdelijke oplossingen voor beveiligingsteams ontstaan.

Mogelijke oplossing

Eén tool, ontwikkeld door onderzoekers van beveiligingsleverancier Cybereason, schakelt de kwetsbaarheid uit en stelt organisaties in staat om beschermd te blijven terwijl ze hun servers updaten, aldus het bedrijf.

Na de implementatie zullen toekomstige pogingen om de Log4Shell-kwetsbaarheid te misbruiken niet werken, zegt Yonatan Striem-Amit, medeoprichter en chief technology officer bij Cybereason. Het bedrijf heeft de fix beschreven als een “vaccin” omdat het werkt door gebruik te maken van de Log4Shell-kwetsbaarheid zelf. Het was gratis vrijgegeven op vrijdagavond.

Toch mag niemand de tool zien als een “permanente” oplossing om de kwetsbaarheid in Log4j aan te pakken, vertelde Striem-Amit aan VentureBeat.

“Het idee is niet dat dit een oplossing voor de lange termijn is”, zei hij. “Het idee is dat je jezelf tijd gunt om nu de best practices toe te passen – patch je software, implementeer een nieuwe versie en alle andere dingen die nodig zijn voor een goede IT-hygiëne.”

Wijdverbreide kwetsbaarheid

De Log4Shell-kwetsbaarheid wordt als zeer gevaarlijk beschouwd vanwege het wijdverbreide gebruik van Log4j in software en omdat de fout als vrij eenvoudig te misbruiken wordt beschouwd. De RCE-fout kan aanvallers uiteindelijk in staat stellen om op afstand toegang te krijgen tot apparaten en deze te bedienen.

Log4Shell is “waarschijnlijk de belangrijkste” [vulnerability] in een decennium” en kan uiteindelijk de “belangrijkste ooit worden”, zei Amit Yoran, CEO van Tenable, zaterdag op Twitter.

Volgens W3Techs draait naar schatting 31,5% van alle websites op Apache-servers. De lijst met bedrijven met kwetsbare infrastructuur naar verluidt omvat Apple, Amazon, Twitter en Cloudflare.

“Deze kwetsbaarheid, die op grote schaal wordt uitgebuit door een groeiend aantal dreigingsactoren, vormt een urgente uitdaging voor netwerkverdedigers gezien het brede gebruik ervan”, zegt Jen Easterly, directeur van de federale Cybersecurity and Infrastructure Security Agency (CISA), in een verklaring zaterdag geplaatst.

VentureBeat

De missie van VentureBeat is om een ​​digitaal stadsplein te zijn voor technische besluitvormers om kennis op te doen over transformatieve technologie en transacties. Onze site biedt essentiële informatie over datatechnologieën en -strategieën om u te begeleiden bij het leiden van uw organisaties. We nodigen je uit om lid te worden van onze community, om toegang te krijgen tot:

  • actuele informatie over de onderwerpen die u interesseren
  • onze nieuwsbrieven
  • gated thought-leader content en korting op toegang tot onze gewaardeerde evenementen, zoals: Transformeer 2021: Leer meer
  • netwerkfuncties en meer

Lid worden

creditSource link

Palomine.be
Logo
Compare items
  • Total (0)
Compare
0
Shopping cart