En los últimos días, el grupo de piratas informáticos Hafnium y una serie de ataque en Microsoft Exchange Server han aparecido en los titulares.Los puntos débiles de día cero utilizados por los atacantes habilitados para Hafnium, entre otras cosas
Acceso al servidor de Exchange sin especificar una contraseña
Expansión de corrección hasta los derechos máximos como sistema
La posibilidad de escribir archivos en cualquier lugar del servidor de Exchange
Las brechas del día cero se han reparado, pero la situación de amenaza sigue siendo grande, que se debe a las cosas debido a las muy citadas web..Exactamente esa interfaz basada en la web juega un papel crucial para muchos ataques cibernéticos para realizar archivos y comandos que se han introducido en sistemas comprometidos. Die Platzierung der Webshells gestaltete sich für Hafnium & Co.Particularmente fácil en el caso actual, ya que se podían acceder a numerosos sistemas de intercambio debido a la brecha de seguridad sin contraseña.
Por supuesto, muchos piratas informáticos usan tales vulnerabilidades de una manera muy "tradicional" cargando malware en los sistemas más comprimidos que, en una fecha posterior, por el usuario o Zip o Z.B.se inicia por un reinicio.Si bien el malware tradicional solo tiene un alcance limitado de las funciones, existe una alternativa más flexible para el ataque a una red.Y aquí los conchas entran en juego, primero sin la "web" antes.
Por defecto, los lenguajes de secuencias de comandos, los lenguajes de programación para programas más pequeños, un llamado "shell", a menudo se usa como un "lectura de lectura-impresión"..En lugar de ejecutar un programa existente directamente, una reemplazo generalmente crea una solicitud de entrada y solo se inicia cuando el usuario proporciona el comando correspondiente.Este proceso se repite automáticamente con comandos potencialmente nuevos que se relacionan con los resultados anteriores.Entre otras cosas, los programadores o los piratas informáticos pueden hacer interactivamente, procesar los resultados directamente, ejecutar nuevos programas en la memoria o crear archivos.Con un reemplazo o un shell, el trabajo de programación se puede diseñar en el proceso actual y los usuarios no dependen de un programa rígido que se creó con anticipación.Si los piratas informáticos ahora pueden implementar dicho shell en una computadora remota y alimentarlos con líneas de comando individuales, hay un shell remoto muy simple disponible, lo que garantiza mucha libertad de programación, ya que no está restringido por funciones predefinidas del programa.Tal herramienta es el cielo en la Tierra para los piratas informáticos, ya que ahora pueden actuar de manera flexible en el sistema comprometido y no dependen de malware especial.
El acceso a través de sistemas de secuencias de comandos es atractivo, ya que muchos servidores web usan un poco de ayuda para generar y operar contenido.Los programas utilizados con frecuencia incluyen PHP, Perl y Python en sistemas Linux o UNIX, así como PHP, VBScript, JavaScript y C# en los sistemas de Windows.Si los usuarios ahora son un archivo llamado "índice.html "o" imagen.JPG “Buscar y existir, el servidor lee el archivo en la memoria y se lo proporciona al usuario.Aquí, también, ya hay mucho potencial para los piratas informáticos con Z.B.Noticias falsas, pero los archivos HTML falsos no pueden comprometer el servidor usted mismo.Pero, por supuesto, también hay medios aquí y rutas que abren servidores web de Windows IIS a través de páginas de servidor activo (ASP).El final.ASP En una URL, el servidor Windows IIS indica automáticamente no solo leer y enviar un archivo, sino en primer lugar para pasar por el servicio de secuencias de comandos ASP de Windows.Si bien el contenido HTML regular se usa sin modificar, ciertas áreas del archivo ASP ahora se ejecutan como script en el servidor.El resultado de este proceso se inserta nuevamente en el archivo HTML a una succión.Para generar un sitio web dinámico en el que no hay evidencia del script en el servidor en el navegador.
Entonces, si los piratas informáticos colocan una extensión de ASP en el lugar correcto en un Seved de la web de Windows, puede activar los archivos en cualquier momento posterior contactando la URL que está conectada al archivo infiltrado.Por lo tanto, el servidor actúa como una "consola de comando" para el ataque del hacker.Además, los programas de script con capacidad ASP, como VBScript, no solo se pueden activar desde una distancia, sino que también se pueden insertar parámetros adicionales al final de una URL.Como resultado, el navegador puede cambiar el script cada vez que se llama al navegador: el WebShell, que no solo se puede hacer comandos específicos limitados, sino que también se puede ampliar individualmente.Esto significa que Hackern está disponible para una expansión pequeña pero común en un servidor web que ejecuta comandos directamente y sin la necesidad de un inicio de sesión.
Esto significa que el atacante puede llevar a cabo interactivamente los comandos o programas del servidor de destino a través del navegador solo, analizar el gasto y llevar a cabo más acciones basadas en esto, como si los atacantes estuvieran sentados en la consola del sistema.Por la posibilidad de expandir sus derechos como un sistema, los atacantes en el caso de Hafnium no solo pueden cambiar y actuar sobre el sistema afectado, sino en parte en toda la red como querían.
Consejo: Si desea obtener más información sobre el tema de las WebShells, puede hacerlo en una contribución detallada de la serie "Seguridad grave" con los colegas de seguridad desnuda: https: // nakedsecurity.Sófos.Com/2021/09/graves-webshells-explicados en el otoño-athetmath-haberium-tacks/