Gemengde reacties op FBI-actie om Exchange-servers op te schonen
De actie van de FBI om ongevraagd honderden met malware geïnfecteerde Microsoft Exchange-servers in de Verenigde Staten op te schonen zorgt voor gemengde reacties van beveiligingsexperts en securitybedrijven. De Amerikaanse opsporingsdienst maakte vorige week bekend dat het via een gerechtelijk bevel van honderden gecompromitteerde servers aanwezige webshells had verwijderd.
Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers en het stelen van gegevens. De verwijderde webshells waren van een groep die in een vroeg stadium van Exchange-kwetsbaarheden misbruik maakte om toegang tot netwerken van Amerikaanse organisaties te krijgen. Deze webshells waren elk voorzien van een unieke pad- en bestandsnaam, waardoor het mogelijk lastiger was voor de servereigenaren om die te vinden en verwijderen.
"De FBI breekt in op Amerikaanse computers om malware te verwijderen - en overtreedt de wet om dit te doen", zegt klokkenluider Edward Snowden. Experts laten tegenover SecurityWeek weten dat de actie een gevaarlijk precedent schept waarbij opsporingsdiensten brede toestemming krijgen om op computers in te breken waarvan wordt vermoed dat ze gecompromitteerd zijn. Er zijn echter ook experts die zich in de actie van de FBI kunnen vinden, omdat hiermee de organisaties in kwestie worden beschermd.
Een beveiligingsonderzoeker met het alias The Grugq stelt in een reactie dat de besmette Exchange-servers die zijn opgeschoond waarschijnlijk opnieuw gecompromitteerd zullen worden. Daarnaast zijn er ook de nodige juridische vragen over de gebruikte bevoegdheid. "Dit bevel is een zeer krachtige en in potentie gevaarlijk middel dat de overheid toestemming geeft om toegang tot de computers van onschuldige mensen te krijgen om zonder voorafgaande kennisgeving bestanden te verwijderen", zegt Kurt Opsahl van de Amerikaanse burgerrechtenbeweging EFF tegenover The Washington Post.
Volgens Opsahl is het positief dat de webshells worden verwijderd, maar is de onderliggende kwetsbaarheid niet door de FBI gepatcht. "Het blijft zeer verontrustend om te zien dat de rechter de overheid toestemming geeft om computers te benaderen op basis van wat de overheid denkt dat goed voor je is", stelt Opsahl. De FBI zal de getroffen organisaties naar eigen zeggen over de actie informeren. Via Twitter meldt de Amerikaanse opsporingsdienst dat het alleen de webshells heeft verwijderd en geen andere malware die mogelijk door de aanvallers is achtergelaten.
Als je het doet, doe het dan wat completer.
Ik bedoel dat ze echt geen handwerk hebben gedaan, dan is een windowsupdate commando extra ook niet zo'n issue.
Dat is net als roepen "Supermarktketen verwijdert insectenplaag op A2"... omdat een vrachtwagen door een zwerm heen rijdt is dat nog niet de intentie...
In deze lijkt het ook meer op dat een wannabee goodooder dacht 'ik ga goed bezig zijn om die shell te verwijderen"...
En omdat de FBI de control-server had overgenomen, meldden alle besmete systemen zich automatisch.
Dus toen een besmette Exchange server zich ging melden bij de command&control, kreeg deze opdracht om de shell te verwijderen..
Domme actie natuurlijk, want het onderliggend probleem blijft, anders was de shell immers nooit daarop gekomen.
En nu is er ook geen mogelijkheid om die servers nog te bereiken via hun ingebouwde phone-home functie.
Dat is een beetje als je ingelogd bent op een Windows server via RDP, herstel, PCAnywhere om de software te updaten waar je op next-next-finish moet drukken...
Op dat moment leek het een goed idee om de nieuwste driver te gebruiken... totdat je erachter kwam dat je bij updaten van de driver je verbinding disconnect en nooit op de next-next-finish kan klikken.
Op deze telegraaf-stijl manier lijkt het net of er honderden scriptkiddies actief waren bij de FBI om die servers te ontdoen...
Jammer weer.
Wat een briljante reactie....
Het is immers ondenkbaar dat complexe software ooit veilig wordt dus de FBI zal altijd nodig zijn om het internet een beetje veiliger te maken.
Bij XS4All zetten ze je trouwens achter een firewall mocht je computer ziek worden.
Niet dat dat bij mij ooit is voorgekomen.
Wat wil je dan? Het maar laten dooretteren omdat de fabrikant v.d. software haar verantwoordelijkheid niet kan of wil nemen? Iedereen weet dat het betreffende bedrijf met technological debt zit in hun software. Maar het wordt nog steeds geleverd als 'professionele' oplossing (in werkelijkheid eerder software voor lichte consumententoepassingen te noemen) en ze hebben er meer dan genoeg geld aan verdiend om nu eindelijk eens de bezem door hun spaghetticode te halen.
https://www.security.nl/posting/696617#posting697326 #nofurthercomment
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.