Attackers Exploit 17-Year-Old Bug to Deliver Malware via Cobalt Strike

DAVID BISSON em 29/11/2017 no site The State of Security

Malicious actors are exploiting a 17-year-old vulnerability to infect machines with malware using a component of the Cobalt Strike penetration tool.

An attack under this campaign begins when a user receives a spam email from Visa announcing a change to its payWave service in Russia. The email comes with a password-protected archive that’s named “Изменения в системе безопасности.doc Visa payWave.doc.” Those behind this operation might have protected the archive with a password to lull the user into a false sense of security and thereby trick them into believing that Visa took precautions to protect the contents of the document.

Fake Visa notification email in Russian. (Source: Fortinet)

However, the archive is merely a distraction. The main focus of this attack email is a malicious RTF document that, when opened, exploits CVE-2017-11882, a 17-year-old arbitrary code execution vulnerability which Microsoft patched in mid-November 2017. This exploit triggers an obfuscated JavaScript that executes an obfuscated PowerShell script, which then downloads another PowerShell script and executes it to load Cobalt Strike in memory.

From there, the attacker can seize control of the infected system and potentially move laterally in the network.

Encoded and decoded PowerShell script downloader. (Source: Fortinet)

Fortinet security researchers Jasper Manual and Joie Salvio explain this campaign reveals the danger of users not patching their systems of known vulnerabilities on a timely basis:

Threat actors are always on the lookout for vulnerabilities to exploit and use them for malware campaigns like this. This goes both for new and old vulnerabilities, whether they have been published or not. We frequently see malware campaigns that exploit vulnerabilities that have been patched for months or even years. This may have come from an assumption that there are still a significant number of users out there that don’t take software updates seriously, which sadly, is far too often the case.

To protect against attacks such as these, users should update their systems regularly, and organizations should invest in a vulnerability management solution that can help them detect and prioritize all known bugs.

For information on how Tripwire’s solutions can help strengthen a company’s vulnerability management program, click here.

Testes de invasão não vão resolver sua falta de estratégia de segurança

Por Leonardo Militelli *

Em 01/09/2017 no site IDGNow

Testar.me

Com o objetivo de acompanhar a evolução das tendências e do cibercrime e estar em conformidade com padrões e exigências da indústria, cada vez mais organizações estão buscando testes de invasão para avaliar sua infraestrutura técnica. No entanto, poucas sabem o que isso realmente significa, qual o seu propósito e qual o seu nível de eficiência.

Quando decidem contratar um teste de invasão, poucas empresas já conduziram alguma avaliação de segurança antes. Raramente essas organizações conhecem seus controles de segurança ou implementam algum escaneamento de vulnerabilidades regularmente, pois geralmente esperam que os testes de invasão façam isso, especialmente no caso das empresas de pequeno e médio e porte.

No entanto, não existe um teste de invasão que faça tudo isso, nem que sirva para todas as empresas e seus diferentes objetivos. Existem diversas modalidades de testes, entre as quais cada uma serve a um propósito, exige diferentes níveis de habilidade da equipe de pentest, e testa diferentes elementos da rede, usando diferentes metodologias.

Os pentests são tentativas de derrubar defesas e ganhar acesso aos ativos corporativos por meio da exploração de vulnerabilidades sem mitigação. Em suma, serve para testar a capacidade do hacker de penetrar na defesa do perímetro, ganhar acesso à rede interna e controlar elementos do ambiente de TI e, para isso, pode incluir também o escaneamento de vulnerabilidades e técnicas de engenharia social, mas essa é só uma parte das atividades de exploração.

No entanto, por mais completo que seja o escopo de um teste de invasão, antes de contratar, as empresas precisam ser capazes de responder algumas perguntas sobre sua maturidade em segurança da informação. Por exemplo, você sabe o que está conectado aos seus sistemas e redes o tempo todo? Você está continuamente gerenciando seus sistemas com boas configurações? Você limita e rastreia as atividades de quem tem privilégios administrativos?

Ao responder essas perguntas, é possível determinar que tipo de teste de invasão a organização precisa e evitar alguns equívocos comuns como, por exemplo, achar que os resultados de um teste de invasão para o ambiente externo comprovam que a rede está completamente segura – é impossível afirmar isso sem testar outros elementos, como os do ambiente interno (que inclui as configurações de permissionamento do usuário, por exemplo).

A verdade é que a contratação de testes de invasão hoje é um desafio principalmente por causa da especificidade do escopo e das várias possibilidades de abordagem e metodologia, que acabam criando uma série de equívocos em relação às expectativas em termos de resultado.

Além disso, a busca por fornecedores ou parceiros com experiência comprovada e uma equipe multidisciplinar também desafia as empresas. Entender como gerir esse relacionamento pode ser o principal diferencial entre um erro caro e um trabalho bem executado. Por isso, é essencial que as empresas tenham um entendimento completo de todo o processo de trabalho com o fornecedor.

Mesmo que a empresa não tenha controles ou conte com um nível baixo de maturidade, os testes de invasão podem ajudar a dar visibilidade para aprovar projetos de segurança, por exemplo. Porém, como seu objetivo maior é validar a eficácia dos controles de segurança, oferecendo uma perspectiva diferente de outras ferramentas de avaliação, é preciso contar com um objetivo claramente definido.

Leonardo Militelli é CEO da iBLISS