微軟發現：神秘的勒索軟件 Prestige 正在針對烏克蘭、波蘭的運輸和物流組織

微軟發現：神秘的勒索軟件 Prestige 正在針對烏克蘭、波蘭的運輸和物流組織




微軟報告稱，新的 Prestige 勒索軟件正被用于針對烏克蘭和波蘭的運輸和物流組織的攻擊。Prestige 勒索軟件于10月11日首次出現在威脅環境中，所有受害者在一小時內相互攻擊。

該活動的一個顯著特點是，很少看到威脅行為者試圖將勒索軟件部署到烏克蘭企業的網絡中。微軟指出，該活動與它正在跟蹤的94個當前活躍的勒索軟件活動組中的任何一個都沒有關聯。

微軟威脅情報中心 (MSTIC) 發布的報告中寫道：“該活動與最近與俄羅斯國家相關的活動，特別是在受影響的地區和國家，并與FoxBlade惡意軟件（也稱為HermeticWiper）的先前受害者重疊”。

HermeticWiper是網絡安全公司ESET和博通旗下賽門鐵克的研究人員于2月發現的破壞性擦除器，其惡意代碼被用于襲擊烏克蘭數百臺機器的攻擊。

微軟注意到，該活動不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破壞性攻擊，這些攻擊在過去兩周襲擊了烏克蘭的幾個關鍵基礎設施組織。

MSTIC 尚未將這些攻擊歸因于已知的威脅組，同時，它正在跟蹤該活動作為 DEV-0960。在目標網絡中部署勒索軟件之前， 使用以下兩個遠程執行使用程序觀察了威脅參與者：

RemoteExec – 一種用于無代理遠程代碼執行的商用工具
Impacket WMIexec – 一種基于開源腳本的遠程代碼執行解決方案 DEV-0960 在一些攻擊中使用以下工具來訪問高權限憑證：
winPEAS – 在 Windows 上執行權限提升的開源腳本集合
comsvcs.dll – 用于轉儲 LSASS 進程的內存并竊取憑據
ntdsutil.exe – 用于備份 Active Directory 數據庫，可能供以后使用憑據

“在所有觀察到的部署中，攻擊者已經獲得了對域管理員等高權限憑證的訪問權限，以促進勒索軟件的部署?！?繼續報告?！澳壳吧形创_定初始訪問向量，但在某些情況下，攻擊者可能已經從先前的妥協中獲得了對高特權憑據的現有訪問權限?！?

Microsoft Office 365消息加密（OEM）被曝采用不安全的操作模式

概述

Microsoft Office 365 消息加密（OME）采用電子密碼本（ECB）操作模式。這種模式通常是不安全的，可能會泄露所發送消息的結構方面的信息，這可能導致部分或全部消息泄露。正如美國國家標準與技術研究所（NIST）發布的《提議修訂特別出版物 800-38A 的公告》所述：" 在 NIST 全國漏洞數據庫（NVD）中，使用 ECB 加密機密信息構成了嚴重的安全漏洞；比如，參閱 CVE-2020 -11500：https://nvd.nist.gov/vuln/detail/CVE-2020-11500。"

描述

Microsoft Office 365 提供了一種發送加密消息的方法。微軟聲稱該功能讓組織可以以一種安全的方式在組織內外的人員之間發送和接收加密的電子郵件。遺憾的是，OME 消息是在不安全的電子密碼本（ECB）操作模式下被加密的。

影響

由于 ECB 泄露了消息的某些結構信息，如果第三方可以訪問加密電子郵件消息，也許就能夠識別消息內容。這會導致機密性可能喪失。


圖 1. 從 Office 365 郵件加密保護的電子郵件中提取的圖像

由于加密消息是作為常規電子郵件附件發送的，因此發送的消息可能會存儲在各種電子郵件系統中，可能已被發送者和接收者之間的任何有關方截獲。

如果攻擊者擁有龐大的消息數據庫，可以通過分析截獲消息的重復部分的相對位置，推斷其內容（或部分內容）。

大多數 OME 加密消息都受到影響，攻擊者可以對任何之前發送、接收或截獲的加密消息離線執行攻擊。組織無法阻止已經發送的消息被人分析，也無法使用權限管理功能來解決這個問題。

視通過加密消息發送的內容而定，一些組織可能需要考慮該漏洞的法律影響。正如歐盟《通用數據保護條例》（GDPR）、《加利福尼亞州消費者隱私法》（CCPA）或其他類似法規所述，漏洞可能會導致隱私受到影響。

細節

電子密碼本（ECB）操作模式意味著每個密碼塊都單獨加密。明文消息的重復塊總是映射到相同的密文塊。實際上，這意味著雖然實際的明文并不直接顯示，但消息結構方面的信息卻直接顯示。這是在 ECB 操作模式下經過 AES 加密的 RAW 圖像：


雖然不知道實際的單個像素值，但可以輕松識別圖像的實際內容。

即使特定消息不會以這種方式直接泄露信息，擁有大量消息的攻擊者仍可以分析文件中重復模式的關系來識別特定文件。這可能導致加密消息的（部分）明文能夠推斷出來。

不需要知道加密密鑰就可以利用該漏洞，因此自帶密鑰（BYOK）或類似的加密密鑰保護措施沒有任何補救方面的影響。

用于 Microsoft Office 365 消息加密的密碼似乎是高級加密標準（AES）。然而面對這個漏洞，實際的密碼無關緊要，因為無論使用何種密碼，ECB 操作模式都具有相同的屬性。

CWE-327：使用損壞或有風險的加密算法

Outlook 365 消息加密在將郵件加密成 RPMSG blob 時使用電子密碼本（ECB）操作模式。

這個漏洞的根本原因似乎是事先決定使用具有消息加密功能的電子密碼本（ECB）操作模式，然后一直采用這個糟糕的決定。

Microsoft 信息保護（MIP）ProtectionHandler::PublishingSettings 類有一個 SetIsDeprecatedAlgorithmPreferred 方法，文檔對該方法描述如下：

" 設置是否優先使用被廢棄的加密算法（ECB）以實現向后兼容性。"

OME 很可能使用這種方法來啟用 RPMSG 的 ECB 加密。如果未設置該標志，則使用密碼塊鏈接（CBC）操作模式。

Microsoft 信息保護 FIPS 140-2 合規文檔提到：

" 舊版 Office（2010）需要 AES 128 ECB，而 Office 文檔仍以這種方式受到 Office 應用程序的保護。"

緩解措施

在多次詢問漏洞狀態后，微軟最終回復如下：

" 我們認為漏洞報告不符合安全服務標準，也不被認為是泄密事件。沒有更改代碼，因此沒有為此報告發布 CVE。"

電子郵件系統的最終用戶或管理員無法強制執行更安全的操作模式。由于微軟沒有計劃修復該漏洞，唯一的緩解措施是避免使用 Microsoft Office 365 消息加密。

資料卡

類型：使用損壞或有風險的加密算法

嚴重程度：很高

受影響的產品：Microsoft Office 365

緩解措施：由于微軟沒有計劃修復這個漏洞，唯一的緩解措施就是避免使用 Microsoft Office 365 消息加密。

感謝：感謝 WithSecure Consulting 公司的 Harry Sintonen 發現漏洞。

參考：MSRC VULN-060517

時間線

2022-01-11 發現漏洞。通過 MSRC 報告該漏洞，編號為 VULN-060517。

2022-01-19 微軟發放賞金 5000 美元。

2022-05-19 就問題的狀態與微軟取得聯系，沒有收到回復。

2022-08-29 向微軟告知計劃公開披露。

2022-09-21 微軟對此問題進行了跟進，聲稱 " 我們認為漏洞報告不符合安全服務標準，也不被認為是泄密事件。沒有更改代碼，因此沒有為此報告發布 CVE。"

2022-10-14 WithSecure 發布公告。