Gemengde reacties op FBI-actie om Exchange-servers op te schonen
De actie van de FBI om ongevraagd honderden met malware geïnfecteerde Microsoft Exchange-servers in de Verenigde Staten op te schonen zorgt voor gemengde reacties van beveiligingsexperts en securitybedrijven. De Amerikaanse opsporingsdienst maakte vorige week bekend dat het via een gerechtelijk bevel van honderden gecompromitteerde servers aanwezige webshells had verwijderd.
Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers en het stelen van gegevens. De verwijderde webshells waren van een groep die in een vroeg stadium van Exchange-kwetsbaarheden misbruik maakte om toegang tot netwerken van Amerikaanse organisaties te krijgen. Deze webshells waren elk voorzien van een unieke pad- en bestandsnaam, waardoor het mogelijk lastiger was voor de servereigenaren om die te vinden en verwijderen.
"De FBI breekt in op Amerikaanse computers om malware te verwijderen - en overtreedt de wet om dit te doen", zegt klokkenluider Edward Snowden. Experts laten tegenover SecurityWeek weten dat de actie een gevaarlijk precedent schept waarbij opsporingsdiensten brede toestemming krijgen om op computers in te breken waarvan wordt vermoed dat ze gecompromitteerd zijn. Er zijn echter ook experts die zich in de actie van de FBI kunnen vinden, omdat hiermee de organisaties in kwestie worden beschermd.
Een beveiligingsonderzoeker met het alias The Grugq stelt in een reactie dat de besmette Exchange-servers die zijn opgeschoond waarschijnlijk opnieuw gecompromitteerd zullen worden. Daarnaast zijn er ook de nodige juridische vragen over de gebruikte bevoegdheid. "Dit bevel is een zeer krachtige en in potentie gevaarlijk middel dat de overheid toestemming geeft om toegang tot de computers van onschuldige mensen te krijgen om zonder voorafgaande kennisgeving bestanden te verwijderen", zegt Kurt Opsahl van de Amerikaanse burgerrechtenbeweging EFF tegenover The Washington Post.
Volgens Opsahl is het positief dat de webshells worden verwijderd, maar is de onderliggende kwetsbaarheid niet door de FBI gepatcht. "Het blijft zeer verontrustend om te zien dat de rechter de overheid toestemming geeft om computers te benaderen op basis van wat de overheid denkt dat goed voor je is", stelt Opsahl. De FBI zal de getroffen organisaties naar eigen zeggen over de actie informeren. Via Twitter meldt de Amerikaanse opsporingsdienst dat het alleen de webshells heeft verwijderd en geen andere malware die mogelijk door de aanvallers is achtergelaten.
Als je het doet, doe het dan wat completer.
Ik bedoel dat ze echt geen handwerk hebben gedaan, dan is een windowsupdate commando extra ook niet zo'n issue.
Dat is net als roepen "Supermarktketen verwijdert insectenplaag op A2"... omdat een vrachtwagen door een zwerm heen rijdt is dat nog niet de intentie...
In deze lijkt het ook meer op dat een wannabee goodooder dacht 'ik ga goed bezig zijn om die shell te verwijderen"...
En omdat de FBI de control-server had overgenomen, meldden alle besmete systemen zich automatisch.
Dus toen een besmette Exchange server zich ging melden bij de command&control, kreeg deze opdracht om de shell te verwijderen..
Domme actie natuurlijk, want het onderliggend probleem blijft, anders was de shell immers nooit daarop gekomen.
En nu is er ook geen mogelijkheid om die servers nog te bereiken via hun ingebouwde phone-home functie.
Dat is een beetje als je ingelogd bent op een Windows server via RDP, herstel, PCAnywhere om de software te updaten waar je op next-next-finish moet drukken...
Op dat moment leek het een goed idee om de nieuwste driver te gebruiken... totdat je erachter kwam dat je bij updaten van de driver je verbinding disconnect en nooit op de next-next-finish kan klikken.
Op deze telegraaf-stijl manier lijkt het net of er honderden scriptkiddies actief waren bij de FBI om die servers te ontdoen...
Jammer weer.
Wat een briljante reactie....
Het is immers ondenkbaar dat complexe software ooit veilig wordt dus de FBI zal altijd nodig zijn om het internet een beetje veiliger te maken.
Bij XS4All zetten ze je trouwens achter een firewall mocht je computer ziek worden.
Niet dat dat bij mij ooit is voorgekomen.
Wat wil je dan? Het maar laten dooretteren omdat de fabrikant v.d. software haar verantwoordelijkheid niet kan of wil nemen? Iedereen weet dat het betreffende bedrijf met technological debt zit in hun software. Maar het wordt nog steeds geleverd als 'professionele' oplossing (in werkelijkheid eerder software voor lichte consumententoepassingen te noemen) en ze hebben er meer dan genoeg geld aan verdiend om nu eindelijk eens de bezem door hun spaghetticode te halen.
https://www.security.nl/posting/696617#posting697326 #nofurthercomment
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
