Episódio 113: Uma operação sem precedentes do FBI remove Webshells de servidores Exchange infectados

Uma iniciativa do FBI começou a remover remotamente webshells de servidores Microsoft Exchange infectados. WordPress 5.7.1 foi lançado com alguns patches de segurança. Mais de 15 plug-ins de add-on Elementor foram encontrados com vulnerabilidades semelhantes às encontradas no plug-in Elementor principal; essas vulnerabilidades adicionais de plug-ins afetaram mais de 3,5 milhões de sites com mais de 100 endpoints vulneráveis. Descobriu-se que o Google Chrome tem duas vulnerabilidades de dia zero. Os EUA e o Reino Unido culpam os hackers do serviço de inteligência russo pela campanha de ataque em andamento contra a SolarWinds.

Aqui estão os carimbos de data/hora e links, caso você queira dar uma olhada, e uma transcrição está abaixo.
0:18 WordPress 5.7.1 Lançado
3:02 Patches recentes balançam o ecossistema Elementor
7:07 FBI inicia operação para remover backdoors de servidores Microsoft Exchange hackeados
14:30 Segundo exploit de dia zero do Google Chrome lançado no Twitter esta semana
17:14 SolarWinds: EUA e Reino Unido culpam os hackers do serviço de inteligência russo pelo grande ataque cibernético

Encontre-nos em seu aplicativo ou plataforma favorita, incluindo iTunes , Google Podcasts , Spotify , YouTube , SoundCloud e Céu Encoberto .

Clique aqui para baixar uma versão em MP3 deste podcast. Inscreva-se em nosso feed RSS .

Transcrição do episódio 113

Carneiro:
Bem-vindo ao Think Like a Hacker, o podcast sobre WordPress, segurança e inovação. Eu sou Ram Gall, analista de ameaças da Wordfence, e comigo está a diretora de marketing Kathy Zant. Vamos começar. O que acontece primeiro, Kathy?

Kathy:
Bem, eu acho que o que se levanta primeiro é, antes de tudo, eu preciso perguntar o quão cafeinado você está? Como está o Moccamaster?

Carneiro:
É maravilhoso. Eu realmente precisava disso esta manhã, porque eu estava olhando para o lançamento do núcleo do WordPress bem tarde na noite passada, já que isso aconteceu à noite no meu tempo. E-

Kathy:
Já era tarde da noite meu tempo, então eu estava apenas vegging e assistindo vocês escolherem esta versão do WordPress Core 5.7.1, era bem tarde na noite de 14 de abril que eles lançaram isso. O que você achou?

Carneiro:
Na verdade, Chloe e Matt Rusnake, nosso engenheiro líder de controle de qualidade, encontraram alguns problemas. Ele incluía alguns patches de segurança, um deles, e o que eles portaram de volta para a versão 4.7 era um problema em que qualquer pessoa com acesso ao editor de postagem poderia ler as postagens protegidas de outras pessoas se elas fossem protegidas por senha.

Kathy:
Então, até um contribuidor?

Carneiro:
Sim. Por exemplo, se você tem um site e escreveu uma postagem protegida por senha que não quer que ninguém leia, a menos que eles tenham a senha, um colaborador desse site pode ler essa postagem.

Kathy:
OK. Portanto, não é muito perigoso, mas ainda-

Carneiro:
Sim, não poderia ser usado para assumir o controle de um site ou algo assim.

Kathy:
OK. Mas ainda era um problema de segurança que precisava ser resolvido, e foi o que aconteceu?

Carneiro:
Sim. E havia outro patch que era um pouco mais preocupante. Basicamente, o WordPress 5.6 e 5.7 reintroduziram uma vulnerabilidade muito antiga de 2012. E isso só aconteceu para sites que executam PHP 8, e só poderia acontecer para pessoas que tinham permissão para fazer upload de arquivos ou importar arquivos de mídia, basicamente as tags identificadoras, as tags ID3 que você usou para ver quem é o autor e o álbum de uma música ou algo assim, essas podem ser usadas para carregar entidades XML externas. E basicamente o que aconteceu é que o WordPress… o PHP 8 supostamente tornou a função que carrega segura, exceto a maneira como o WordPress carrega essas tags especificamente de uma forma insegura, mesmo no PHP 8. Então eles tiveram que voltar a ativar a função que eles não devem mais ser usados ​​no PHP 8 para torná-lo seguro novamente. De qualquer forma, isso não vai atingir muitas pessoas. Novamente, você precisa estar no PHP 8, WordPress 5.6 ou 5.7 para ficar vulnerável a isso. E teria que ser alguém que já pudesse fazer upload de arquivos.

Kathy:
A maioria dos sites ainda usa PHP 7.

Carneiro:
7,3, 7,4, sim. Suspeito que qualquer pessoa que esteja executando o PHP 8 provavelmente também está atualizando automaticamente o núcleo apenas porque gostaria de estar na vanguarda. Temos medidas atenuantes para esse tipo de problema.

Kathy:
OK. Bom saber. Tudo bem. Portanto, o WordPress 5.7.1 está disponível, se o seu site estiver configurado para atualização automática, provavelmente já não tem nada importante em termos de patches de segurança, mas existem alguns. Qual é a nossa próxima história? Parece que você… Eu conheço a história porque você tem estado muito ocupado no mês passado revisando tantos plug-ins no ecossistema Elementor. Conte-nos mais.

Carneiro:
Sim. Mais de 15 plug-ins, digo mais de 15 porque, na verdade, relatamos 17 no artigo, mas há alguns que ainda estão corrigindo, instalados em cerca de três milhões e meio de sites. Encontramos mais de 100 endpoints vulneráveis. Basicamente, qualquer plug-in que adicionou widgets adicionais ao Elementor permitiu que contribuidores, qualquer pessoa capaz de acessar o editor do Elementor, adicionassem script entre sites ou JavaScript malicioso a uma postagem.

Kathy:
E isso foi dentro de Elementor. O Elementor tem tudo isso como pequenos elementos de widget que você pode adicionar e, dentro dele, um contribuidor poderia ter adicionado um script malicioso que poderia ter causado a vulnerabilidade de qualquer pessoa que olhasse aquela postagem no editor, certo?

Carneiro:
Sim. E uma vez que as postagens do colaborador precisam ser revisadas por usuários com privilégios mais altos, seria muito fácil para um colaborador adicionar JavaScript a uma postagem ou página e, em seguida, quando um administrador avaliasse que ele seria executado em seu navegador, faça as coisas como eles. Pode ser usado para adicionar um webshell ou adicionar um novo administrador malicioso. Quero dizer, como se isso não fosse o tipo de coisa que você esperaria ver explorado em massa, porque exigiria um usuário um tanto privilegiado. Mas é o tipo de coisa que seria muito útil, como um ataque direcionado. E, realisticamente, o que é mais interessante sobre isso é que encontramos em tantos plug-ins. Agora eu acho que parte disso é que o Elementor tem uma documentação de desenvolvedor muito boa com muitos exemplos. E, infelizmente, alguns desses exemplos usam estilos de codificação inseguros, portanto.

Kathy:
OK. E então, como as coisas estavam sendo validadas no lado do navegador e não no servidor, certo?

Carneiro:
Sim. Portanto, ele não verificou se você adicionar como um elemento de título ou algo assim, ele permite que você escolha se deseja um cabeçalho como uma tag h5 ou como um cabeçalho maior, uma tag h2 ou h1. Mas acontece que, em vez disso, você consegue interceptar essa solicitação em uma tag de script e ela não seria detectada.

Kathy:
Uau. Isso pode parecer um caso extremo, mas esses são os tipos de coisas que os hackers, quando sabem que uma dessas vulnerabilidades existe e entram em um site, é algo que eles podem realmente usar para escalar seus privilégios em um tipo de ataque muito direcionado, certo?

Carneiro:
Sim. E eu acho que você também poderia dizer que, como o PHP 8, a coisa está em um barco semelhante. Acontece que os tipos de sites estabelecidos há muito tempo, que terão muitos usuários, provavelmente não usarão PHP 8. Mas ainda está no mesmo barco que neste. Isso ainda é algo para se estar ciente, não necessariamente para se preocupar ativamente, mas definitivamente para ser corrigido.

Kathy:
Definitivamente. E esta é uma das razões pelas quais eu gosto tanto do WordPress, é que não apenas a equipe principal leva muito a sério as vulnerabilidades no nível do contribuidor e garante que elas sejam corrigidas. Mas todos no espaço do WordPress… Wordfence, também levamos esse tipo de vulnerabilidade muito a sério. E isso torna todo o espaço do WordPress muito mais seguro porque essas coisas são detectadas, corrigidas e passam para a próxima vulnerabilidade que descobrimos. Mas esse sistema de código aberto onde todos estão contribuindo com seu conhecimento sobre, bem, o que pode acontecer com isso? Apenas torna todo o espaço do WordPress mais seguro como um todo. Portanto, estou feliz por você fazer o seu trabalho.

Carneiro:
Obrigado.

Kathy:
Então, se você estiver curioso sobre qualquer um dos plug-ins específicos que foram afetados por isso, vá para a postagem do blog que Ram postou esta semana, os links estarão nas notas do programa e você pode ver os mais de 15 plug-ins que foram afetados por isso vulnerabilidade muito semelhante e certifique-se de atualizar. Agora, parece que outra pessoa quer atualizar as coisas, mas isso-

Carneiro:
Estou feliz que eles não fizeram mais do que remover os webshells.

Kathy:
Então, qual é a história? Quem está fazendo atualizações e o que eles estão fazendo de muito incomum?

Carneiro:
Bem, primeiro, os invasores estavam fazendo atualizações não autorizadas em servidores de troca adicionando webshells, aproveitando algumas vulnerabilidades que discutimos em nosso podcast anterior. E agora, o FBI também está… Basicamente, o FBI está circulando e usando os webshells para excluí-los.

Kathy:
Interessante. OK. Portanto, esses servidores Exchange tinham uma vulnerabilidade que relatamos, os hackers estão entrando nos servidores Exchange. Eles estão colocando webshells, ASP webshells, nesses servidores Exchange e, portanto, agora o FBI está chegando e usando o webshell para entrar e excluir esse webshell. Mas o webshell é como uma porta dos fundos; não está necessariamente fazendo nada malicioso por estar lá. É como uma porta aberta, certo?

Carneiro:
Sim. É basicamente como ter uma vulnerabilidade que exige muito menos conhecimento técnico para explorar, pelo menos se não for protegida por senha, o que se o FBI foi capaz de acessá-la, parece que provavelmente não foi.

Kathy:
OK. E parece que o Hafnium é o grupo de hackers patrocinado pelo estado da China que tem como alvo os servidores Exchange que usam esse backdoor em particular?

Carneiro:
sim. Essa é a outra coisa. Parece que os webshells que eles adicionaram, parece que vários outros grupos também estavam usando os webshells que deixaram para trás nos servidores Exchange. Então…

Kathy:
OK. Então, parecia que isso estava começando a ficar fora de controle, e parece que o FBI entrou e começou a usar o webshell para limpar o webshell. E isso é um pouco inédito, não é?

Carneiro:
Sim. Isso me deixa um pouco nervoso. Há uma série de outras coisas que vários órgãos de governo fizeram no passado, assumindo o controle da infraestrutura de botnet C2 para encerrar botnets ou apreender sistemas infectados porque são evidências de um crime. Mas é meio que eu quero dizer a primeira vez que eles fizeram algo assim em massa, remotamente, e assumiram o controle do sistema de outra pessoa remotamente para fazer isso. Ou é alguém que não é um sistema criminoso remotamente para fazer isso, pelo menos. É um pouco preocupante.

Kathy:
Sim. É um pouco preocupante, especialmente quando é o governo fazendo algo assim, porque quando o governo aparece e diz: “Ei, estamos aqui para ajudar. E vamos apenas entrar em seu servidor privado e fazer isso em seu servidor. ” É como se os policiais entrassem em sua casa e dissessem: um criminoso deixou uma chave embaixo do tapete e nós vamos pegar essa chave. É um pouco enervante, suponho. Mas quero dizer, se alguém está executando um servidor Exchange, eu espero… Eu tenho essa expectativa de uma empresa executando um servidor Exchange para ter algum tipo de protocolo de segurança em vigor para que esse servidor seja atualizado e verificado em busca de malware.

Carneiro:
Sim. Como um servidor Exchange, não é como um blog de gato. Não é como não ter um sistema de segurança em sua casa. É mais como se você tivesse uma vitrine e não tivesse um cofre trancado nessa vitrine.

Kathy:
Sim. É muito mais um tipo de empresa comercial e há várias expectativas sobre o que acontece lá. Mas o governo está fazendo isso pela primeira vez… É como a primeira vez que eles fizeram, e o que você acha de ter o FBI fazendo esse tipo de coisa?

Carneiro:
Praticamente a única coisa que posso realmente dizer é que é melhor que o FBI esteja fazendo isso abertamente do que a NSA fazendo isso nas sombras. Porque você não saberia realmente se a NSA fez isso. Dessa forma, pelo menos esse tipo de coisa pode ser desafiada. Abre um precedente e corre o risco de normalizar este tipo de coisa, mas, ao mesmo tempo, o facto de sabermos que aconteceu significa que pode ser contestado. Essa é a única conclusão realmente positiva que tenho disso. Não vou dizer que alguém não precisava limpar esses webshells, mas teria sido ideal se fossem os proprietários dos servidores para realmente fazer a limpeza.

Kathy:
Sim. E isso me leva a, há uma série de soluções de segurança no espaço do WordPress. E algumas dessas soluções simplesmente entram e removem o malware. Nós não. Basicamente, oferecemos uma ferramenta que permite saber se o malware está lá e, em seguida, ajuda você a tomar boas decisões sobre o que está acontecendo em seu site, seja uma atualização de plug-in ou um arquivo infectado. Você toma a decisão de limpar isso porque é o seu site. Não temos remoção automática de malware, também quero dizer que você poderia ter seu arquivo wp-config, que é muito importante para a operação do seu site, ter malware dentro dele, você prefere que seja limpo sabendo o que está acontecendo com ele ou excluído automaticamente por algum serviço que chega e exclui automaticamente qualquer coisa que se pareça com malware. Quero dizer, obviamente, algumas decisões muito específicas precisam ser feitas nesses tipos de casos. Mas nosso tipo de opinião sobre as coisas é como se seu site estivesse infectado, sim, ele precisa ser limpo, mas também precisa ser investigado, como isso aconteceu e que tipo de evidência foi deixada para trás. E se tudo isso for simplesmente eliminado, não dá poder. O que o FBI está fazendo aqui não capacita os proprietários desses servidores Exchange para melhorar a segurança, na minha opinião, e isso precisa acontecer. Isso precisa ser mais ou menos como a coisa principal que acontece neste caso.

Carneiro:
Eu concordo completamente. Como eu já vi tantos casos com ferramentas que limpam malware automaticamente, onde eles simplesmente continuam limpando o mesmo malware dia após dia, porque o lugar onde ele está entrando nunca é consertado. O site continua sendo reinfectado. Sim. Não há uma diferença significativa em muitos casos e de forma realista, limpar é o tipo de tarefa que, em muitos casos, precisa da inteligência humana. Só porque é tão fácil limpar as partes erradas de uma coisa ou limpar a coisa errada inteiramente e danificar um componente do site. Portanto, é definitivamente o tipo de tarefa que precisa da inteligência humana para ser bem executada.

Kathy:
Sim, é verdade, na minha opinião. E isso vale para servidores Exchange e WordPress e seu computador. Qualquer sistema que receba qualquer tipo de malware deve ter algum tipo de intervenção humana na minha opinião.

Carneiro:
Eu sinto que é especialmente o caso de algo como WordPress, que é escrito em uma linguagem como PHP, onde você pode adicionar conteúdo malicioso a um arquivo existente em vez de realmente adulterar um binário que é um pouco mais complicado ou ter um autônomo binário malicioso, você sabe que os invasores podem injetar código malicioso bem no meio do código benigno e em um site WordPress. E esse é o tipo de coisa em que você quer ter cuidado e usar um bisturi para limpar, em vez de apenas estragar tudo em muitos casos, ou substituí-lo, se possível.

Kathy:
Sim. Bisturi em vez de uma marreta.

Carneiro:
Sim.

Kathy:
Sim. Tudo bem. Então, continuaremos assistindo essa história porque tenho certeza de que aprenderemos mais sobre isso à medida que ela evolui, assim como este dia zero do Google Chrome que… Parece que 2021 é o quê? O ano do Chrome zero-day.

Carneiro:
É o ano do Chrome zero-day. Parece que este é o segundo desta semana. Não há uma tonelada de informação sobre este além do tradicional vídeo de prova de conceito, que pegou neste caso, eles o usam para abrir o Bloco de Notas do Windows, que tanto o Bloco de Notas quanto a Calculadora, ou como o tradicional aqui, posso fazer remotamente execução de código por meio de seu navegador. Portanto, parece que não foi possível escapar do recurso Chromium Sandbox. Mas, honestamente, se for esse o caso, não tenho certeza de como eles abriram o Bloco de notas. De qualquer forma, atualize o Chrome, atualize o Chrome o mais rápido possível.

Kathy:
E o Microsoft Edge ou qualquer outro navegador baseado em Chromium que você esteja usando. Conhecemos um navegador que não é afetado, qual é o que usa…

Carneiro:
Esse seria o Firefox. E, honestamente, sou um fanático fanático pelo Firefox, mas sei que sua participação no mercado é pequena. E é provavelmente por isso que não vemos tudo isso no Firefox. Mas parte de mim quer especular que o fato de o Firefox tentar fazer tantas coisas com o Rust, que é uma linguagem de programação segura para a memória, para esse tipo de coisa é muito mais difícil de realizar. Acho que o fato de o Firefox tentar fazer o máximo possível com o Rust talvez seja parte do motivo pelo qual não estamos vendo tantos deles no Firefox. Mas isso é apenas especulação. Você não pode provar uma negativa.

Kathy:
Todo mundo sempre quer ir atrás do garoto mais velho do bairro e esse parece ser o Chrome hoje em dia, todo mundo está usando o Chrome. Assim como o WordPress. E é por isso que você precisa, se estiver usando o Chrome, a higiene do Chrome é realmente importante. É importante sempre… A cada poucos dias, como uma vez por semana, verifique e certifique-se de que ele está atualizado, ele terá uma pequena atualização no canto superior direito. Mas você também pode entrar nas configurações e apenas fazer uma verificação de segurança. Além disso, é bom verificar suas extensões lá, como plug-ins em seu navegador e se o plug-in

Carneiro:
Houve alguns mal-intencionados.

Kathy:
Houve alguns mal-intencionados.

Carneiro:
Existe um mercado para os mal-intencionados. As pessoas compraram extensões maliciosas do Chrome e adicionaram malware a elas, assim como fizeram para os plug-ins do WordPress.

Kathy:
Oh, divertido. Sim. Portanto, sempre verifique suas extensões, certifique-se de que tudo o que está lá é algo que você está usando ativamente. E se algo parecer ser algo que você não tem certeza do que é, certifique-se de excluí-los. As extensões do navegador são como plug-ins e você apenas… É muito importante estar ciente do que está acontecendo porque é como sua vida digital no navegador. Todos nós vivemos muito em nosso navegador.

Carneiro:
Nós fazemos. O último item de nossa lista não tem nada a ver com navegadores, embora tenha a ver com a NSA e o FBI.

Kathy:
Sim.

Carneiro:
Sim. Enfim, você sabe sobre o SolarWinds que era a única coisa de segurança sobre a qual alguém poderia falar por uns dois meses?

Kathy:
Sim. Era muito grande.

Carneiro:
E ainda está sendo atacado. De qualquer forma, parece que o Cosy Bear foi oficialmente culpado.

Kathy:
sim. E não apenas pelo governo dos EUA, aparentemente, o NCSC do Reino Unido está acusando a Cozy Bear dessas campanhas contra a SolarWinds, o serviço de inteligência estrangeiro russo ou o SVR está aparentemente explorando, de acordo com o FBI NSA, blá, blá. Estão explorando ativamente cinco vulnerabilidades conhecidas publicamente. Existem esses atores conhecidos como APT29, Cozy Bear e The Dukes, que eram novos para mim. Portanto, parece que a SolarWinds agora se tornou o que sabemos que estava acontecendo, que se tornaria política. Sim. O que significa que não temos mais nada a dizer sobre isso, mas continuaremos observando esses ataques e ver o que está acontecendo, porque é assustador para mim que essas vulnerabilidades ainda estejam sendo exploradas, que ainda existam sistemas sem patch que podem ser explorados. É como a maior história.

Carneiro:
Sempre há sistemas sem patch que podem ser explorados.

Kathy:
Isso é o que acontece com a segurança: você pode informar as pessoas todos os dias e pode ser a história número um nas notícias. Pode ser… Você coloca outdoors, pode bater na porta das pessoas e dizer: “SolarWinds! Você está corrigido ?! ” Mas ainda haverá pessoas que não corrigem e não protegem seus sistemas.

Carneiro:
O que é compreensível se for um blog de gato, mas você sabe, SolarWinds está na categoria de servidores Exchange, mas muito mais. Não é como ter uma vitrine sem um cofre, é como ter uma rede de franquias onde você tem uma política de não ter um cofre. Essa é uma analogia muito ruim, mas tipo, sim.

Kathy:
Bem, isso meio que o deixa em casa, mas parece que… Este é o mundo em que vivemos agora, a segurança toca cada um de nós. Tentamos ajudá-lo a ficar seguro, não apenas com o que você está fazendo com seus navegadores, mas também com o que está fazendo com seu site WordPress. Iremos relatar qualquer história que acharmos relevante para você, a fim de que fique seguro. Você apenas tem que estar ciente. Você tem que corrigir seus sistemas, seja seu computador ou site WordPress e apenas estar ciente e estamos muito gratos por você ouvir Think Like a Hacker e nos visitar no Wordfence Live para que possamos compartilhar todas essas histórias assustadoras com vocês. E-

Carneiro:
Histórias assustadoras. E gostaríamos que você nos ajudasse a ajudá-lo ao-

Kathy:
E o mundo…

Carneiro:
E o mundo, ao se juntar a nós e trabalhar conosco, estamos contratando para uma função SecOps, função de desenvolvedor PHP, também temos uma nova função de controle de qualidade se você quiser testar nossos produtos e possivelmente quebrá-los, foi assim que comecei aqui. Temos uma função de pesquisador de desempenho de site e temos uma função de designer instrucional. Se você ou alguém que você conhece já criou conteúdo educacional ou curso, envie-nos alguns exemplos e deixe-nos ver o que você tem.

Kathy:
Sim. Especialmente se você estiver interessado em segurança, se tiver feito cursos sobre segurança ainda mais interessantes, adoraríamos falar com você. Temos uma série de coisas no funil que estamos cozinhando. Porque vemos o quão importante é a educação e a segurança, elas meio que caminham juntas e queremos ter certeza de que todos tenham as ferramentas e o conhecimento de que precisam para viver neste mundo digital. E com isso, acho que é o nosso episódio desta semana.

Carneiro:
Eu acho que isso é tudo. Obrigado e vejo você na próxima semana.

Kathy:
Vejo voce na proxima semana. Obrigado por ouvir, tchau.

Carneiro:
Tchau.

Você pode encontrar o Wordfence no Twitter , Facebook , Instagram . Você também pode nos encontrar no YouTube , onde nós tenha nosso Wordfence Live semanal às terças-feiras ao meio-dia, horário do leste, 9h do Pacífico.