O grupo de ransomware TellYouThePass está explorando uma vulnerabilidade crítica em PHP que facilita a execução remota de código (RCE). Vamos detalhar como essa falha afeta sistemas Windows e como os atacantes utilizam essa brecha para realizar ataques de ransomware, afetando tanto empresas quanto indivíduos.
A Vulnerabilidade Crítica em PHP
O Que é a CVE-2024-4577?
A CVE-2024-4577 é uma vulnerabilidade de injeção de argumentos resultante de erros nas conversões de codificação de caracteres em PHP. Esta falha afeta particularmente a funcionalidade “Best Fit” em sistemas Windows, permitindo que atacantes executem código arbitrário em servidores vulneráveis.
Impacto da Falha
Pesquisadores da Beagle Security alertaram que a CVE-2024-4577 pode permitir que atores maliciosos executem código arbitrário em servidores vulneráveis. Um proof-of-concept (PoC) publicado no GitHub pelos pesquisadores da watchTowr demonstrou a facilidade com que essa falha pode ser explorada.
Como TellYouThePass Explora a Vulnerabilidade
Exploração do PHP
O grupo TellYouThePass aproveita a vulnerabilidade CVE-2024-4577 para executar código PHP arbitrário no sistema alvo. Especificamente, eles utilizam a função “system” para rodar um arquivo HTML hospedado em um servidor controlado pelos atacantes, via o binário mshta.exe. Este binário nativo do Windows pode executar payloads remotos, facilitando ataques no estilo “living-off-the-land”.
Método de Ataque
O grupo TellYouThePass, ativo desde 2019, evoluiu suas técnicas de ataque ao longo dos anos. Recentemente, variantes do malware são entregues como amostras .NET usando aplicativos HTML (HTA). O ataque inicial usa um arquivo HTA (dd3.hta) que contém um VBScript malicioso, responsável por decodificar uma string base64 que revela bytes de um binário carregado na memória durante a execução.
Consequências da Infecção
Comportamento do Ransomware
Após a execução inicial, o ransomware envia uma solicitação HTTP ao servidor de comando e controle (C2), contendo detalhes sobre a máquina infectada. O ransomware então enumera diretórios, encerra processos, gera chaves de criptografia e criptografa arquivos. Por fim, publica uma mensagem ReadMe no diretório raiz da Web, orientando as vítimas sobre como proceder.
Mitigação e Prevenção
Atualização do PHP
A vulnerabilidade afeta versões do PHP 8.1 antes da 8.1.29, 8.2 antes da 8.2.20 e 8.3 antes da 8.3.8, quando usados com Apache e PHP-CGI no Windows. Atualizar para as versões 8.1.29, 8.2.20 e 8.3.8 resolve o problema.
Outras Medidas de Mitigação
Para minimizar a exploração da falha, desabilite o modo CGI no PHP. Segundo análise da DEVCORE, recomenda-se migrar para arquiteturas mais seguras como Mod-PHP, FastCGI ou PHP-FPM.
Boas Práticas Gerais
Além de aplicar patches, as organizações devem:
- Manter um inventário atualizado de ativos e aplicativos.
- Usar firewalls de aplicativos web para bloquear ataques.
- Utilizar programas antivírus confiáveis como primeira linha de defesa contra campanhas de malware como TellYouThePass.
A vulnerabilidade crítica em PHP e a exploração por parte do grupo TellYouThePass sublinham a importância de manter sistemas atualizados e implementar boas práticas de segurança. A adoção de medidas preventivas pode proteger sua organização contra ataques devastadores de ransomware.
Fonte: https://beaglesecurity.com/blog/article/php-cgi-argument-injection.html
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.
