[SECURITY-L] [RNP/CAIS Alerta #0084] Vulnerabilidades exploradas pelo ransomware Conti

CSIRT Unicamp security em unicamp.br
Sexta Março 25 15:39:38 -03 2022 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [25/03/2022]: Vulnerabilidades exploradas pelo ransomware Conti

Prezados,

O CAIS está alertando para 32 vulnerabilidades mencionadas em conversas dos
operadores do ransomware Conti. Os chats do grupo vazaram na internet após
um suposto desentendimento entre seus membros, permitindo uma análise das
táticas comentadas nessas tratativas. Os CVEs abaixo foram citados neste
contexto.

Descrição

A maioria das vulnerabilidades está relacionada à elevação de privilégio em
ambientes Windows. Embora a natureza do problema e o componente envolvido
sejam diferentes em cada caso, a consequência é a mesma: um usuário sem
privilégios alcança acesso administrativo ou de sistema (SYSTEM).

Um outro grupo menor de vulnerabilidades tem a capacidade de obter acesso
indevido ao ambiente por meio de execução de código. O sistema Windows, o
servidor de e-mails Exchange, o VMware vCenter e a biblioteca de chat
Texcore estão nesta lista.

Vale lembrar que este conjunto não é necessariamente exclusivo do grupo
Conti. A falha CVE-2021-26855, que atinge o Exchange, apareceu também em um
alerta do FBI para o ransomware AvosLocker[1]. Sendo assim, esta lista pode
ser compreendida como um fator adicional de risco decorrente do indício de
exploração real.

As vulnerabilidades não são inéditas e já existem atualizações para
corrigir todas elas. Nenhuma ação é necessária em sistemas que estão dentro
de seu ciclo de vida e com os patches mais recentes.

Como algumas das vulnerabilidades citadas atingem sistemas que já não têm
mais suporte regular (como é o caso dos Windows Vista e 7), é recomendado
que esses ambientes sejam migrados.

Para entender melhor o vazamento das conversas do Conti e a operação deste
grupo de ransomware, consulte os links em [Mais informações].

Sistemas impactados
Microsoft Windows
Microsoft Exchange
VMware vCenter
Texcore (biblioteca)

Versões afetadas
Microsoft Windows Vista / 7 / 8 / 10
Microsoft Windows Server 2008 / 2012 / 2016 / 2019
Microsoft Exchange 2010 / 2013 / 2016 / 2019
VMware vCenter 6.7 / 7.0
Texcore 0.1.9 a 0.1.11 / 0.2.0 a 0.2.12

Correções disponíveis
Atualizações estão disponíveis nos canais dos fabricantes.
A Texcore precisa ser atualizada pela distribuição Linux ou pelo software
que depende da biblioteca.

Identificadores CVE (http://cve.mitre.org)
[Microsoft Windows]
CVE-2015-2546
CVE-2016-3309
CVE-2017-0101
CVE-2018-8120
CVE-2019-0543
CVE-2019-0841
CVE-2019-1064
CVE-2019-1069
CVE-2019-1129
CVE-2019-1130
CVE-2019-1215
CVE-2019-1253
CVE-2019-1315
CVE-2019-1322
CVE-2019-1385
CVE-2019-1388
CVE-2019-1405
CVE-2019-1458
CVE-2020-0609
CVE-2020-0638
CVE-2020-0787
CVE-2020-0796
CVE-2020-1472
CVE-2021-1675
CVE-2021-1732
CVE-2021-34527

[Microsoft Exchange]
CVE-2020-0688
CVE-2021-26855

[VMware]
CVE-2021-21972
CVE-2021-21985
CVE-2021-22005

[Texcore]
CVE-2021-44847

Mais informações
[1] https://www.ic3.gov/Media/News/2022/220318.pdf

https://socradar.io/an-overview-on-conti-ransomware-leaks-is-this-the-end-
for-conti/
<https://socradar.io/an-overview-on-conti-ransomware-leaks-is-this-the-end-for-conti/>
https://www.esentire.com/blog/analysis-of-leaked-conti-intrusion-
procedures-by-esentires-threat-response-unit-tru
<https://www.esentire.com/blog/analysis-of-leaked-conti-intrusion-procedures-by-esentires-threat-response-unit-tru>


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.


Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=U+Xy
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta

===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20220325/bcbb80dc/attachment-0001.html>

Mais detalhes sobre a lista de discussão SECURITY-L