Критические 0-day уязвимости в Exchange спровоцировали волну атак по всему миру

Критические 0-day уязвимости в Exchange спровоцировали волну атак по всему миру
9fa00fe9db3d410d013b8644227ec438.jpg

Начало весны текущего года ознаменовали срочные новости от мирового IT-гиганта. Корпорация Microsoft сообщила о четырех ранее неизвестных уязвимостях в серверном ПО Microsoft Exchange Server, обнаруженных в версиях Microsoft Exchange Server 2013, 2016 и 2019. И хотя компания оперативно выпустила необходимые патчи, не все организации успели обновить почтовые сервера, что неизбежно привело к росту количества успешных попыток эксплуатации этих уязвимостей в течение последней недели по всему миру. Как сообщает «Коммерсантъ», в России уже атакованы около 40 организаций.

Вредоносная кампания, в ходе которой активно использовались бреши в ПО Microsoft Exchange Server, приписывается группировке HAFNIUM. Согласно данным исследования компании Volexity, участвовавшей в расследовании инцидентов, атаки могли стартовать как минимум с января текущего года.

Как поясняет центр Microsoft Threat Intelligence Center (MSTIC), чтобы получить начальный доступ к почтовому серверу, хакеры эксплуатировали уязвимость типа SSRF (Server-Side Request Forgery), которая позволила отправлять на Exchange-сервер специально подготовленные HTTP-запросы и таким образом пройти аутентификацию. Уязвимости был присвоен идентификатор  CVE-2021-26855. Отмечается, что для успешной атаки уязвимый сервер Exchange должен иметь возможность принимать ненадежные соединения через порт 443.

Дальнейшие действия группировки затрагивали уязвимость CVE-2021-26857 – уязвимость небезопасной десериализации в службе Unified Messaging (служба позволяет использовать в почтовом ящике функции голосовой связи). Успешная эксплуатация уязвимости предоставила злоумышленникам права на выполнение произвольного кода под учетной записью SYSTEM. Чтобы воспользоваться этой уязвимостью, необходимо пройти аутентификацию на Exchange-сервере с правами администратора или сначала воспользоваться другой уязвимостью.

Закрепить удаленный доступ к скомпрометированному хосту удалось благодаря комбинации уязвимости обхода аутентификации (CVE-2021-26855) с CVE-2021-26858 или CVE-2021-27065, позволяющими записывать на Exchange-сервере произвольные файлы. В частности, в блоге Microsoft говорится, что операторы HAFNIUM использовали эти бреши для развертывания веб- оболочек в целевых системах, таким образом обеспечивая бэкдор в скомпрометированной сети.

Установив контроль над уязвимым сервером, хакеры получили возможность передавать похищенную информацию (учетные данные и данные почтовых ящиков пользователей) на свой удаленный сервер – для этого использовались файлообменники такие, как MEGA .
Описание вредоносной кампании также дополнено индикаторами компрометации (IoC), такими как хэши веб-оболочек, пути их расположения на сервере, имена файлов, используемые инструменты. Компания Volexity опубликовала собственный анализ с IoC-ами.
Специалисты Microsoft привели рекомендации для защиты серверов, в том числе альтернативные меры, а также разработали сценарий , который можно использовать для проверки всех серверов Exchange на наличие признаков эксплуатации уязвимостей CVE-2021-26855, 26858, 26857 и 27065.

Следует отметить, что выпущенные обновления безопасности устраняют несколько других уязвимостей, эксплуатация которых пока не была обнаружена.

«Основной рекомендацией  остается обновить Exchange до последней поддерживаемой версии, согласно официальному update guide , – комментирует директор Центра киберустойчивости ACRC Тимур Зиннятуллин. – Однако следует учесть, что патчи сами по себе не решат проблемы для информационных инфраструктур, где злоумышленники уже успели проэксплуатировать уязвимость и закрепиться. Одна из техник защиты, которая может помочь вытеснить злоумышленников из скомпрометированной инфраструктуры, это контроль обнаружения известных на текущий момент IoC-ов, и последующий ретроспективный анализ с использованием уже будущих IoC-ов. Что особенно важно, ведь учитывая, что атаки с использованием найденных уязвимостей активно применяются in the wild, злоумышленники будут постоянно работать над тем, чтобы избежать обнаружения по уже известным индикаторам компрометации».

Центр киберустойчивости ACRC предлагает своим клиентам собственное решение, на базе которого аналитики-эксперты нашего SOC в удаленном формате готовы осуществлять мониторинг событий ИБ, отслеживая подозрительную активность в системе заказчика и оперативно реагируя на выявленные инциденты ИБ.
Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group