Компания Microsoft сообщает о проправительственной группировке, которая в настоящее время была замечена в массовых целевых атаках с использованием 0-day уязвимостей на почтовые серверы Microsoft Exchange Server крупных государственных компаний с целью кражи важных данных и получения удаленного контроля. На первом этапе злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации ранее неопубликованных уязвимостей (0-day). Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки, в настоящий момент – преимущественно с целью кражи данных. Аналогичные атаки наблюдаем и мы на территории РФ.
В связи с этим компания Microsoft выпустила срочные обновления безопасности для уязвимостей, которые используются в ходе атак:
- CVE-2021-26855 – SSRF-уязвимость в Exchange, позволяющая злоумышленникам посылать специальные HTTP-запросы для аутентификации на сервере
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 - CVE-2021-26857 – Insecure Deserialization уязвимость в Exchange, позволяющая выполнять на сервере Exchange код от SYSTEM
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857 - CVE-2021-26858 – Arbitrary File Write уязвимость в Exchange, позволяющая после получения доступа к серверу Exchange записать файл в любом произвольном каталоге
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858 - CVE-2021-27065 — Arbitrary File Write уязвимость в Exchange, позволяющая после получения доступа к серверу Exchange записать файл в любом произвольном каталоге
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065 - CVE-2021-26412 – RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412 - CVE-2021-27078 — RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078 - CVE-2021-26854 — RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
Уязвимые версии Microsoft Exchange Server:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Рекомендации
Оперативно установить обновления безопасности, так как есть свидетельства активной эксплуатации этих уязвимостей и высока вероятность, что в дальнейшем данные техники будут активно использоваться и другими группировками.
Обновления можно установить через Windows Update или в виде отдельного обновления KB5000871:
· Exchange Server 2013
www.microsoft.com/download/details.aspx?familyid=1255ecd7-b187-4839-96c9-1fc5e05df7b6
· Exchange Server 2016
www.microsoft.com/download/details.aspx?familyid=192fa60f-664a-4f3e-b19f-e295135e469b
www.microsoft.com/download/details.aspx?familyid=31211a48-0cef-462e-bb11-c36440f80bb3
· Exchange Server 2019
www.microsoft.com/download/details.aspx?familyid=2aadda14-b8aa-4370-a492-0a6818facce8
www.microsoft.com/download/details.aspx?familyid=18c75641-e53d-4979-8d5e-29a80674e41f