2 марта 2021 г. Microsoft выпустила срочное обновление, чтобы закрыть 4 критичные уязвимости в Exchange Server 2010, 2013, 2016, и 2019.
Наша команда реагирования на инциденты и форензики активно включилась в расследования инцидентов, возникших из-за этих новых угроз. Мы наблюдали злонамеренное использование этих уязвимостей для получения удалённого доступа к серверам Exchange и последующей выгрузки критичных данных, включая почтовые ящики целиком.
Пожалуйста, не забывайте, что атакующие наиболее вероятно используют удалённый доступ к Exchange для того, чтобы затем переключиться на ещё более критчные системы, например, контроллеры домена.
Microsoft сообщила о китайской, предположительно спонсируемой государством, группировке HAFNIUM, использующей эти уязвимости. По информации Microsoft, Exchange Online не подвержен этим же уязвимостям.
Описание уязвимостей
Всего во время атаки эксплуатируются четыре CVE:
- CVE-2021-26855 — это уязвимость Exchange, позволяющая подделывать запросы на стороне сервера — server-side request forgery (SSRF), позволяющая атакующим отправлять произвольные запросы HTTP и аутентифицироваться от имени конкретного сервера Exchange
- CVE-2021-26857 — используется для повышения привилегий — privilege escalation, с целью получить на сервере привилегии системной учётной записи: SYSTEM
- CVE-2021-26858 и CVE-2021-27065 используются для записи файлов в произвольную (любую) папку на сервере.
Группы злоумышленников увязывают эксплуатации этих уязвимостей воедино с целью проведения результативных атак. Вы можете дополнительно ознакомиться с анализом этих эксплуатаций от Veloxity.
Как происходит атака
- Злоумышленники находят уязвимые серверы Exchange с открытым портом HTTP 443
- Эксплуатируют уязвимость SSRF (первую из описанных выше) для получения необходимого доступа и аутентификации от имени этого сервера Exchange
- Получают привилегии системной учетной записи (SYSTEM), эксплуатируя следующую уязвимость, и выполняют вредоносный код, помимо этого собирая данные этой учетной записи и хэшах паролей (например, с помощью ProcDump)
- Используют уже имеющиеся права доступа сервера Exchange для прямого доступа к контроллерам домена с целью повышения привилегий в домене и/или создания плацдарма, обеспечивающего максимально возможное постоянное присутствие в домене
- Ищут интересные для них почтовые ящики, цепочки переписки и другие файлы, содержащие критичные данные и подготавливают их к «выносу» из организации
- Устанавливают WebShell, извлекают данные и выгружают их на сайты широко используемых файлообменных сервисов.
Как защититься и обнаружить признаки компрометации
- Убедитесь, что все серверы Exchange, по всем вашим доменам, полностью обновлены. Это означает, что на них развёрнуты последние обновления Microsoft для установленных продуктов: Cumulative Update и Security Update.
- Команда Microsoft опубликовала PowerShell скрипт для того, чтобы помочь вам в поисках признаков компрометации этих конкретных атак, таких как созданные злоумышленниками файлы с расширением ASPX(.aspx)
- Исследователь Кевин Бьюмон (Kevin Beaumont) также выпустил «сделанный на скорую руку» скрипт nmap для поиска потенциально уязвимых серверов в вашем окружении
- Проверьте ваш веб-интерфейс Varonis DatAlert на предмет оповещений от моделей угроз:
- о нестандартной активности сервисных учетных записей, особенно относящихся к Exchange;
- о наличии вредоносных подключений извне через Web, включая разведку обратными запросами, манипуляцию, а также выгрузку данных через DNS (требует мониторинга потоков данных телеметрии с SWG [web-proxy] и DNS с помощью модуля Edge);
- о нетипичном доступе к данным и аутентификациям на участниках сети, исходящих с «внешних» почтовых серверов Exchange;
- о нетипичных попытках массового доступа к данным, особенно критичным, и попыткам их отправить наружу (помимо уже указанных модулей, требует наличия модуля классификации данных – Data Classification Engine).
P.S. Если Вам нужна ЛЮБАЯ помощь, пожалуйста, свяжитесь с российской командой Varonis или обратитесь напрямую к специалистам отдела расследования инцидентов через специальную страницу на нашем сайте и мы сделаем всё возможное и зависящее от нас, чтобы убедиться, что вы в безопасности, даже если ваша компания не является заказчиком Varonis.