Ataque ao STJ e a outros orgãos públicos

* Joas Antonio dos Santos

O ataque que ocorreu dia 03/11 no Sistema Tribunal de Justiça, mostrou ser algo de proporção bem alarmante, principalmente por ser um ataque com grandes impactos.  E também se afirma o comprometimento de 1.200 servidores, porém até esse momento o site do STJ ainda não voltou ao ar, pois foi ordenado que se deixa-se offline. Segundo relatos o ataque criptografou todas as informações das 1.200 máquinas virtuais, rodando em um VMWARE sendo a maioria Servidores Windows. Conhecido como RansomEXX, é um ransomware que foca tanto em sistemas operacionais Linux como Windows, tendo duas versões que foram detectadas pelos especialistas da Kaspersky.

Kaspersky Threat Intelligence Portal
Kaspersky Threat Intelligence Portal allows you to scan files, domains, IP addresses, and URLs for threats, malware…opentip.kaspersky.com

Font: https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/

Essas são as duas versões do RansomEXX tanto para ELF como para PE que se derivam do mesmo código fonte, mas utilizando funcionalidades diferentes para comprometer o ambiente, sendo usado no caso dos sistemas Windows o Windows APIs Internals.

Além disso, segundo o relato dos especialistas da Kaspersky, o trojan não utiliza um C&C e nem técnicas avançadas para anti-debugger. A sua base é utilizar criptografias como AES-256 e RSA-4096 que são padrões de criptografia fortes e segura, sendo um pouco mais chato de realizar sua quebra.

E com base nesses aspectos é atrelado o ransomexx como o malware que comprometeu os servidores do STJ, além de outros orgãos públicos e empresas que foram afetados.

Mensagem deixada pelos criminosos referente ao pagamento do regaste

VirusTotal
VirusTotalwww.virustotal.com

Além disso o CAIS (Centro de Atendimento a Incidentes de Segurança) se pronunciou informando detalhes das vulnerabilidades que se encontravam nos serviços que o STJ estava utilizando e que é usado como vetor principal da propagação do RansomEXX

Prezados,

O CAIS alerta para vulnerabilidades críticas em múltiplas plataformas sabidamente utilizadas de modo amplo por diversas organizações, cuja exploração pode resultar na execução de códigos remotos, infecção por ransomwares, entre outros incidentes graves. Já foram publicados códigos de exploração para as vulnerabilidades identificadas.

DESCRIÇÃO

Seguem abaixo listadas as vulnerabilidades existentes, relacionada às respectivas plataformas:

- — Microsoft Windows

- — Elevação de privilégio (CVE-2020–1472)

Conhecida como “Zerologon”, uma falha no esquema de autenticação principal do protocolo remoto Netlogon (Microsoft Windows Netlogon Remote Protocol, MS-NRPC) do serviço Active Directory pode permitir a manipulação do esquema criptográfico, alterando a identidade de um computador ao realizar autenticação em um controlador de domínio e estabelecendo um canal de conexão com privilégios administrativos totais. A exploração desta vulnerabilidade pode permitir que um usuário malicioso realize ações graves tais como: alterar a conta administrativa do serviço Active Directory, criar novas contas administrativas e alterar credenciais de usuários administradores de domínio, executar comandos remotos e softwares maliciosos em qualquer computador de rede controlado pelo domínio, podendo, inclusive, causar infecção massiva por ransomware na rede.

– -VMWare

Execução remota de código (CVE-2020–3992)

Uma falha no gerenciamento de memória do serviço Common Information Model (CIM) do VMWare pode permitir o acesso incorreto a determinado espaço alocado após o seu uso (user-after-free). A exploração desta vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com os privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.

Execução remota de código (CVE-2019–5544)

Uma falha no gerenciamento da pilha da memória do serviço Common Information Model (CIM) do VMWare pode permitir a sobrescrita de dados incorretamente no espaço alocado. A exploração dessa vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.

SISTEMAS IMPACTADOS

Sistemas Operacionais Microsoft Windows

Plataforma de virtualização VMWare

VERSÕES AFETADAS

Windows Server 2008 R2 (todas as versões)

Windows Server 2008 R2 Service Pack 1 (todas as versões)

Windows Server 2012 (todas as versões)

Windows Server 2012 R2 (todas as versões)

Windows Server 2016 (todas as versões)

Windows Server 2019 (todas as versões)

Windows Server versão 1809 Standard

Windows Server versão 1809 Datacenter

Windows Server versão 1903

Windows Server versão 1909

Windows Server versão 2004

VMWare ESXi 6.0

VMWare ESXi 6.5

VMWare ESXi 6.7

VMWare ESXi 7.0

VMware Cloud Foundation ESXi 3.X

VMware Cloud Foundation ESXi 4.X

CORREÇÕES DISPONÍVEIS

CVE-2020–1472

Aplicar a atualização KB4571702 de 11 de agosto de 2020.

CVE-2019–5544

Executar os patches de correção disponibilizados pela VMWare:

- — Para versões ESXi 6.7, aplicar o patch ESXi670–201912001.

- — Para versões ESXi 6.5, aplicar o patch ESXi650–201912001.

- — Para versões ESXi 6.5, aplicar o patch ESXi600–201912001.

- — Para versões Horizon DaaS 8.x, atualizar para a versão 9.0

CVE-2020–3992

Executar os patches de correção disponibilizados pela VMWare:

- — Para versões ESXi 7.0, aplicar o patch ESXi670-ESXi70U1a-17119627.

- — Para versões ESXi 6.7, aplicar o patch ESXi670–202011301-SG.

- — Para versões ESXi 6.5, aplicar o patch ESXi650–202011401-SG.

- — Para versões ESXi 6.5, aplicar o patch ESXi600–201903001.

Para versões VMware Cloud Foundation ESXi 3.X e 4.X, não há patches de correção até o momento da publicação deste alerta.

Como solução de contorno, é necessário desabilitar o serviço OpenSLP através da interface de comando [13https://nvd.nist.gov/vuln/detail/CVE-2020-3992].

IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2020–1472

CVE-2020–3992

CVE-2019–5544

MAIS INFORMAÇÕES

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472

[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472

[3] https://support.microsoft.com/pt-br/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

[4] https://www.kb.cert.org/vuls/id/490028

[5] https://www.secura.com/pathtoimg.php?id=2055

[6] https://medium.com/cycraft/the-exploit-window-is-open-253770261710

[7] https://danieldonda.com/2020/09/30/explorando-o-zerologon-cve-2020-1472/

[8] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5519

[9] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992

[10] https://www.vmware.com/security/advisories/VMSA-2019-0022.html

[11] https://nvd.nist.gov/vuln/detail/CVE-2020-3992

[12] https://www.vmware.com/security/advisories/VMSA-2020-0023.html

[13] https://kb.vmware.com/s/article/76372

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!

Twitter: @caisRNP

Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

Com certeza é um ataque com alvos direcionados, mas não se sabe muito os detalhes e motivações do atacante, existem diversos relatos que não são confirmados, porém é preocupante essa situação e mostra que as empresas de todas as esferas, seja ela privada ou pública tem que investir em segurança da informação.

 Joas Antonio dos Santos é colaborador do SocialSec, Security Awareness|Ethical Hacker|OWASP|Wireless Hacking|Cyber Security Consultant|Cyber Security Mentor|Article Writer|Offensive Security

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *