Kritikus sebezhetőségek és a javítások tempója
A SolarWinds WHD-ben nemrég több nagy horderejű biztonsági hiba vált ismertté. Ezek között egy 9,8-as súlyosságú, hitelesítés nélküli távoli kódvégrehajtási sérülékenység is szerepel, amelyet hamar javítani kellett. A hibák közül néhány lehetővé tette a támadók számára, hogy jogosulatlanul rendszergazdai parancsokat hajtsanak végre, vagy megkerüljék a biztonsági kontrollokat. Az Egyesült Államok kiberbiztonsági hatósága mindössze háromnapos határidőt szabott a szövetségi ügynökségeknek a javítások alkalmazására, hangsúlyozva a fenyegetés súlyosságát.
Az igazi trükkök: BITS, RMM és QEMU a háttérben
Amikor a támadók sikeresen kihasználták a WHD egyik hibáját, PowerShellt indítottak a fertőzött gépeken, és a BITS (Background Intelligent Transfer Service) segítségével töltötték le és futtatták a kártevőiket. Ez a Windows beépített funkciója, amelyet általában legális rendszergazdai feladatokra használnak, de ebben az esetben a támadók „élősködtek” rajta saját céljaik érdekében, hogy ne kelljen feltűnőbb, könnyebben felismerhető programokat használniuk.
A legérdekesebb rész még csak ezután jött: több gépen feltelepítették a Zoho ManageEngine nevű, teljesen jogtiszta távmenedzsment-eszközt, amellyel hosszabb távra is biztosították a hozzáférésüket. Ezzel további érzékeny felhasználói adatokat és csoportokat kilistáztak, többek között a Domain Admin jogosultságú fiókokat is, továbbá SSH- és RDP-hozzáférést létesítettek, hogy bármikor visszatérhessenek a rendszerbe.
Bizonyos esetekben a támadók QEMU virtuális gépet futtattak SYSTEM-jogosultsággal, így tevékenységüket elrejtették a kíváncsi szemek elől, miközben SSH-porttovábbítást használtak a további támadásokhoz.
Hogyan védekezhetsz?
A hackerek DLL-sideloadinggal a Windows LSASS memóriájához is hozzáfértek, ami lehetőséget adott nekik a hitelesítési adatok ellopására. Legalább egy esetben a támadás DCSync művelethez vezetett, vagyis a támadó a domain controller jelszóadatait próbálta letölteni, ami a legmagasabb szintű veszélyt jelenti.
Végül érdemes mielőbb frissíteni a WHD-t, lezárni minden nyilvánosan elérhető adminisztrációs felületet, átvizsgálni és eltávolítani a jogosulatlanul telepített távmenedzsment-eszközöket – különösen a ManageEngine maradványait. A Microsoft szerint tanácsos jelszót forgatni (rotációt indítani) a WHD-hez köthető adminisztrátori fiókoknál, és az ismerten kompromittált gépeket érdemes elszigetelni a hálózaton belül.
