Attacco MalSmoke: lo strumento Atera RMM è a rischio

Rischio critico Atera RMM

Per la maggior parte dei Managed Service Provider (MSP), Atera RMM presenta rischi minimi. Le tre principali soluzioni RMM, Connectwise, Datto e Kaseya, non sono a rischio di questa vulnerabilità. Detto questo, è sempre utile saperne di più sulle strategie degli hacker, quindi continuate a leggere.

Check Point ha affermato che la campagna, rilevata per la prima volta all'inizio di novembre 2021, utilizza un software di gestione remota legittimo per accedere al computer di destinazione. Da lì, gli aggressori sfruttano il metodo di verifica della firma digitale di Microsoft per iniettare il loro payload dannoso in un file DLL di Windows firmato per aggirare le difese di sicurezza.

Nello specifico, la campagna inizia con l'installazione di Software di monitoraggio e gestione remota Atera su una macchina di destinazione. Strumento remoto legittimo utilizzato dai professionisti IT, il prodotto di Atera offre una prova gratuita di 30 giorni per i nuovi utenti, un'opzione che gli aggressori probabilmente utilizzano per ottenere l'accesso iniziale. Una volta installato il prodotto, gli operatori hanno il pieno controllo del sistema per eseguire script e caricare o scaricare file.

Cosa devo fare?

Per aiutarti a proteggere te stesso e la tua organizzazione da questo particolare exploit, Check Point ti consiglia di applicare Aggiornamento di Microsoft per la verifica rigorosa di Authenticode.

Per gli MSP che utilizzano Datto RMM, è disponibile un monitor per verificare la presenza di questo agente. Il componente (Atera Agent Monitor/Uninstaller [WIN]) è disponibile in ComStore e può essere distribuito immediatamente.