Ataque MalSmoke: Ferramenta Atera RMM em risco

Risco Crítico Atera RMM

Para a maioria dos provedores de serviços gerenciados, o risco para o Atera RMM é muito pequeno. As três principais soluções de RMM – Connectwise, Datto e Kaseya – não correm risco com essa vulnerabilidade. Dito isso, é sempre útil saber mais sobre o que os hackers estão fazendo, então continue lendo.

A Check Point afirmou que a campanha, vista pela primeira vez no início de novembro de 2021, utiliza software legítimo de gerenciamento remoto para acessar a máquina alvo. A partir daí, os invasores exploram o método de verificação de assinatura digital da Microsoft para injetar sua carga maliciosa em um arquivo DLL assinado do Windows e, assim, contornar as defesas de segurança.

Especificamente, a campanha começa com a instalação do Software de monitoramento e gerenciamento remoto Atera em uma máquina alvo. Uma ferramenta remota legítima usada por profissionais de TI, o produto da Atera oferece um teste gratuito de 30 dias para novos usuários, uma opção que os invasores provavelmente estão usando para obter acesso inicial. Uma vez instalado o produto, os operadores têm controle total do sistema para executar scripts e carregar ou baixar arquivos.

O que devo fazer?

Para ajudar você a proteger a si mesmo e sua organização contra essa exploração específica, a Check Point recomenda que você aplique Atualização da Microsoft para verificação rigorosa do Authenticode.

Para MSPs que utilizam o Datto RMM, eles oferecem um monitor para verificar a presença deste agente. O componente (Atera Agent Monitor/Uninstaller [WIN]) está disponível na ComStore e pode ser implantado imediatamente.