Microsoft, FireEye och GoDaddy släpper kill switch för SolarWinds Sunburst-hack

Lästid ikon 2 min. läsa


Läsare hjälper till att stödja MSpoweruser. Vi kan få en provision om du köper via våra länkar. Verktygstipsikon

Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer

Microsoft, FireEye och GoDaddy har utnyttjat en killswitch i Sunburst malware som distribueras som en del av Solarwinds hack, som har påverkat mer än 18,000 XNUMX företag och statliga institutioner.

Den infekterade DLL:n distribuerades efter att Solarwinds hackades och tvingades släppa en automatisk uppdatering med nyttolasten.

Den nyttolasten har lyckligtvis en killswitch, som aktiveras när skadlig programvara ansluter till ett IP-område runt 20.140.0.0/15. Detta IP-intervall kontrolleras normalt av Microsoft, och skadlig programvara kan ha försökt undvika upptäckt genom att inte generera trafik på Microsofts nätverk.

"SUNBURST är skadlig programvara som distribuerades genom SolarWinds programvara. Som en del av FireEyes analys av SUNBURST, identifierade vi en killswitch som skulle hindra SUNBURST från att fortsätta att fungera”, sa FireEye.

Även om korrigeringen kommer att inaktivera DLL:n, kommer den inte att ångra de åtgärder som redan vidtagits av den infekterade programvaran, vilket kan inkludera installation av andra beständiga bakdörrar till offrets nätverk.

"Men i de intrång som FireEye har sett, gick den här aktören snabbt för att etablera ytterligare beständiga mekanismer för att komma åt offernätverk bortom SUNBURST-bakdörren. Denna killswitch kommer inte att ta bort skådespelaren från offernätverk där de har etablerat andra bakdörrar. Det kommer dock att göra det svårare för skådespelaren att utnyttja de tidigare distribuerade versionerna av SUNBURST,” varnade FireEye.

Läs alla detaljer på BleepingDator.

Användarforum

0 meddelanden