Hackers comprometem sistemas VMware

A NSA diz que hackers estatais russos estão a comprometer vários sistemas VMware em ataques que permitem aos hackers instalar malware, obter acesso não autorizado a dados sensíveis e manter uma manutenção persistente em plataformas de trabalho remotas amplamente utilizadas.

Os ataques em curso estão a explorar um bug de segurança. Esta é uma falha de injeção de comando, o que significa que permite que os atacantes executem comandos à sua escolha no sistema operativo que executa o software vulnerável.

Estas vulnerabilidades são o resultado de um código que não filtra a entrada do utilizador, como é o caso dos cabeçalhos HTTP ou cookies. 

Os atacantes de um grupo patrocinado pelo governo russo estão a explorar a vulnerabilidade para obter acesso inicial a sistemas vulneráveis. Em seguida, carregam uma página Web que dá uma interface persistente para executar comandos de servidor.

Utilizando a interface de comando, os hackers acabam por conseguir aceder ao diretório ativo e à parte dos sistemas operativos do servidor do Microsoft Windows que os hackers consideram o Santo Graal porque lhes permite criar contas, alterar palavras-passe e realizar outras tarefas altamente privilegiadas.

"A exploração através de uma injeção de comando levou à instalação de uma concha web e a uma atividade maliciosa em que foram geradas credenciais sob a forma de afirmações de autenticação SAML e enviadas para os Serviços da Federação de Diretórios Ativos da Microsoft, que por sua vez permitiu aos cibercriminosos aceder a dados protegidos", afirmam os responsáveis da NSA.

Para que os atacantes explorem a falha VMware, primeiro devem obter o acesso autentificado baseado em palavras-passe na interface de gestão do dispositivo. A interface por defeito passa pela porta da Internet 8443. As palavras-passe devem ser definidas manualmente após a instalação do software, um requisito que sugere que os administradores estão a escolher senhas fracas ou que as palavras-passe estão a ser comprometidas através de outros meios.

"Um ator malicioso com acesso à rede do configurador administrativo na porta 8443 e uma senha válida para a conta de administração configuradora pode executar comandos com privilégios ilimitados no sistema operativo subjacente", afirma a VMware em comunicado. 

Os ataques ativos surgem quando um grande número de organizações iniciaram procedimentos de trabalho a partir de casa em resposta à pandemia COVID-19. Com muitos funcionários a acederem remotamente a informações sensíveis armazenadas em redes corporativas e governamentais, o software da VMware desempenha um papel fundamental nas salvaguardas concebidas para manter as ligações seguras.

As pessoas que executam em produtos infetados devem instalar o patch VMware e repôr a palavra-passe usada para proteger o produto VMware. 

Em comunicado, a NSA acredita que o grupo de hackers por detrás dos ataques era composto por "atores cibernéticos maliciosos patrocinados pelo Estado russo" e em outubro, o FBI e a NSA e Infraestruturas avisaram que os hackers estatais russos tinham como alvo a vulnerabilidade crítica do Windows apelidada de Zerologon.