Глобален Exchange хак: Microsoft Exchange Server Zero-day експлойт

Какво знаем до сега?

На 02.03.2021 (актуализирана на 04.03.2021/05.03.2021 и 08.03.2021) Microsoft споделиха в публикация в блога си, че са открили множество Zero-Day експлойти, използвани за атаки на локални версии на Microsoft Exchange Server при ограничени и целенасочени атаки. В наблюдаваните до сега атаки, хакерското звено използва тези уязвимости, за да получи достъп до локални Exchange сървъри, които позволяват достъп до имейл акаунти, както и инсталирането на допълнителен злонамерен софтуер с цел улесняване на дългосрочния достъп до системата на жертвата.
На същия ден Microsoft пусна патчове за справяне с четирите сериозни уязвимости в Microsoft Exchange Server софтуера. Въпреки това, степента, до която Exchange Server може да бъде компрометиран, ще зависи от скоростта и приемането на корекциите – и броят на очакваните жертви продължава да расте.

Кои са четирите уязвимости и защо те са важни?

Критичните уязвимости засягат локални Exchange Server 2013, Exchange Server 2016, и Exchange Server 2019. Exchange Online остава незасегнат.

• CVE-2021-26855: CVSS 9.1
• CVE-2021-26857: CVSS 7.8
• CVE-2021-26858: CVSS 7.8
• CVE-2021-27065: CVSS 7.8
•  

В случай, че уязвимостите се използват във серия от атаки, те могат да доведат до дистанционно изпълнение на код (RCE), backdoor, кражба на данни и потенциално по-нататъшно внедряване на злонамерен софтуер.

В обобщение, Microsoft казва, че нападателите си осигуряват достъп до Exchange Server или чрез тези уязвимости, или чрез откраднати идентификационни данни, като след това създават така наречения зловреден интерфейс webshell. Той им позволява да отвлекат системата и да изпълняват команди от разстояние.
С оглед на критичността на пропуските в сигурността на Exchange, Iphos IT Solutions препоръчва незабавно инсталиране на съответните пачове необходими за тяхното отстраняване.

Кой е отговорен за атаките?

На базата на наблюдаваната виктимология, тактика и процедури, Microsoft Threat Intelligence Center (MSTIC) приписва атаките, в които са използвани Zero-day експлойти, на HAFNIUM.

HAFNIUM е финансирана от държавата група от Китай, която е описана от Microsoft като висококвафилицирана и интелигентна.
Въпреки че, HAFNIUM произхожда от Китай, групата използва мрежа от виртуални частни сървъри (VPS), разположени в САЩ, за да се опита да скрие истинското си местоположение.

Какво следва?

Microsoft призовава ИТ администратори и клиенти незабавно да инсталират патча за сигурност. Но само защото патчовете са инсталирани сега, това не означава, че сървърите вече не са били засегнати от бекдор или компрометирани по друг начин.

В случай, че инсталирането на патчове веднага не е възможно, са налични и временни ръководства за смекчаване.

Компанията съветва да търсите индикатори, че софтуерът е компроментиран. Важно е веднага да копирате всички логове на Microsoft Exchange Server офлайн. Екипът на Microsoft Exchange Server пусна скрипт за проверка на HAFNIUM индикатори за компромис (IOC). Може да го намерите тук.

На 8-ми март Microsoft пусна допълнителен сет с ъпдейти, които могат да бъдат приложени към по-стари неподдържани кумулативни актуализации (CU) като временна мярка.

CISA (Certified Information Systems Auditor) съветва всички организации, забелязали някакви индикатори за подозрително поведение, датиращи още от 1 септември 2020 г., да се изключат от интернет, за да смекчат риска от допълнителни щети.