2020-12-09

SEGURANÇA

Hackers comprometem sistemas VMware

Existem diversos produtos VMware a serem explorados em ataques que acedem ao diretório ativo do Windows

Hackers comprometem sistemas VMware

A NSA diz que hackers estatais russos estão a comprometer vários sistemas VMware em ataques que permitem aos hackers instalar malware, obter acesso não autorizado a dados sensíveis e manter uma manutenção persistente em plataformas de trabalho remotas amplamente utilizadas.

Os ataques em curso estão a explorar um bug de segurança. Esta é uma falha de injeção de comando, o que significa que permite que os atacantes executem comandos à sua escolha no sistema operativo que executa o software vulnerável.

Estas vulnerabilidades são o resultado de um código que não filtra a entrada do utilizador, como é o caso dos cabeçalhos HTTP ou cookies. 

Os atacantes de um grupo patrocinado pelo governo russo estão a explorar a vulnerabilidade para obter acesso inicial a sistemas vulneráveis. Em seguida, carregam uma página Web que dá uma interface persistente para executar comandos de servidor.

Utilizando a interface de comando, os hackers acabam por conseguir aceder ao diretório ativo e à parte dos sistemas operativos do servidor do Microsoft Windows que os hackers consideram o Santo Graal porque lhes permite criar contas, alterar palavras-passe e realizar outras tarefas altamente privilegiadas.

"A exploração através de uma injeção de comando levou à instalação de uma concha web e a uma atividade maliciosa em que foram geradas credenciais sob a forma de afirmações de autenticação SAML e enviadas para os Serviços da Federação de Diretórios Ativos da Microsoft, que por sua vez permitiu aos cibercriminosos aceder a dados protegidos", afirmam os responsáveis da NSA.

Para que os atacantes explorem a falha VMware, primeiro devem obter o acesso autentificado baseado em palavras-passe na interface de gestão do dispositivo. A interface por defeito passa pela porta da Internet 8443. As palavras-passe devem ser definidas manualmente após a instalação do software, um requisito que sugere que os administradores estão a escolher senhas fracas ou que as palavras-passe estão a ser comprometidas através de outros meios.

"Um ator malicioso com acesso à rede do configurador administrativo na porta 8443 e uma senha válida para a conta de administração configuradora pode executar comandos com privilégios ilimitados no sistema operativo subjacente", afirma a VMware em comunicado. 

Os ataques ativos surgem quando um grande número de organizações iniciaram procedimentos de trabalho a partir de casa em resposta à pandemia COVID-19. Com muitos funcionários a acederem remotamente a informações sensíveis armazenadas em redes corporativas e governamentais, o software da VMware desempenha um papel fundamental nas salvaguardas concebidas para manter as ligações seguras.

As pessoas que executam em produtos infetados devem instalar o patch VMware e repôr a palavra-passe usada para proteger o produto VMware. 

Em comunicado, a NSA acredita que o grupo de hackers por detrás dos ataques era composto por "atores cibernéticos maliciosos patrocinados pelo Estado russo" e em outubro, o FBI e a NSA e Infraestruturas avisaram que os hackers estatais russos tinham como alvo a vulnerabilidade crítica do Windows apelidada de Zerologon.

ARTIGOS RELACIONADOS

Infinidat e VMware apostam na segurança dos ambientes de IoT
NEGÓCIOS

Infinidat e VMware apostam na segurança dos ambientes de IoT

LER MAIS

Equinix expande colaboração com a VMware
NEGÓCIOS

Equinix expande colaboração com a VMware

LER MAIS

Dell Technologies vai explorar um spin-off da VMware
NEGÓCIOS

Dell Technologies vai explorar um spin-off da VMware

LER MAIS

Recomendado pelos leitores

Mercado de SASE cresce 31% em 2023
SEGURANÇA

Mercado de SASE cresce 31% em 2023

LER MAIS

Empresas portuguesas já utilizam soluções de cibersegurança com IA
SEGURANÇA

Empresas portuguesas já utilizam soluções de cibersegurança com IA

LER MAIS

Ciberameaças aumentam investimentos em cibersegurança das empresas europeias
SEGURANÇA

Ciberameaças aumentam investimentos em cibersegurança das empresas europeias

LER MAIS

IT CHANNEL Nº 105 MARÇO 2024

IT CHANNEL Nº 105 MARÇO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.