Nový ransomwarový gang, označovaný jako LockFile, útočí na servery postavené na MS Windows. K průniku používá sadu tří zřetězených zranitelností ProxyShell, jež byly odhaleny v Exchange Serveru. Tyto zranitelnosti dovolují útočníkům vzdáleně spouštět škodlivý kód.
Zranitelnosti odhalil bezpečnostní expert společnosti Devcore Orange Tsai. V dubnu tohoto roku se mu díky nim podařilo v hackerské soutěži Pwn2Own 2021 v kanadském Vancouveru získat kontrolu Exchange Serverem a vyhrát tak odměnu ve výši 200 tisíc amerických dolarů (cca 4,4 milionů korun). Na začátku srpna pak publikoval na svém YouTube kanále video s ukázkou útoku.
Zranitelnosti v Exchange Serveru
ProxyShell se skládá ze tří zranitelností:
Na tomto místě je vhodné zdůraznit, že Microsoft na všechny uvedené zranitelnosti vydal v květnu tohoto roku záplaty pro Exchange Server 2013, 2016 a 2019. Nedávno však byly zveřejněny další technické podrobnosti, které bezpečnostním expertům a útočníkům umožnily reprodukovat způsob zneužití.
Bohužel někteří správci systémů na aktualizace mírně řečeno kašlou, takže není překvapením, že zveřejnění detailních informací vedlo k tomu, že útočníci aktivně vyhledávají a nabourávají servery s využitím výše uvedených zranitelností.
Úspěšné útoky
Při průniku do sítě se hackeři pomocí zranitelností ProxyShell nejprve dostanou k serveru Microsoft Exchange. Následně instalují do napadeného systému „zadní vrátka“ a pomocí zranitelnosti PetitPotam zkoušejí převzít kontrolu nad řadičem domény, a tím i nad celou doménou Windows.
Minulý týden se začaly objevovat zprávy o ransomwaru, který v požadavcích na výkupné uvádí jméno LockFile. Soubory s požadavkem bývají pojmenované [jméno_oběti] -LOCKFILE-README.hta a vyzývají oběť, aby je kontaktovala prostřednictvím komunikační platformy Tox nebo e-mailem. Ransomware šifruje soubory a připojuje k jejich názvům příponu .lockfile. Je poměrně náročný na systémové prostředky a v některých případech způsobuje dočasné zamrzání systému.
Protože LockFile využívá známé zranitelnosti ProxyShell a PetitPotam, je k ochraně naprosto nezbytné, aby správci systému nainstalovali příslušné aktualizace. V případě zranitelnosti Windows PetitPotam se situace poněkud komplikuje, protože vydaná bezpečnostní záplata není úplná a neopravuje všechny vektory zranitelností.