Administratorzy serwerów Microsoft Exchange On-premises – łatajcie Wasze serwery Exchange! Microsoft wydał właśnie awaryjne aktualizacje zabezpieczeń (poza oficjalnym programem wydań łatek) dla wszystkich obsługiwanych wersji Microsoft Exchange. Poprawki naprawiają cztery luki typu „zero-day” aktywnie wykorzystywane w atakach ukierunkowanych.

Mowa tu o czterech powiązanych ze sobą luk typu „zero-day” umożliwiających dostęp do serwerów Microsoft Exchange, kradzieży poczty e-mail i umieszczania kolejnych złośliwych programów w celu zwiększenia dostępu do sieci i wykonywania kolejnych wektorów ataku.


Chińscy hakerzy odpowiedzialni za ataki

Microsoft wykrył sponsorowaną przez Chiny grupę hackerską o nazwie Hafnium, która wykorzystuje w swoich atakach na organizacje amerykańskie specjalne exploity w celu kradzieży danych.

Hafnium kieruje swoje ataki przede wszystkim na podmioty w Stanach Zjednoczonych w celu wydobywania informacji z wielu sektorów przemysłu, w tym badaczy chorób zakaźnych, kancelarii prawniczych, instytucji szkolnictwa wyższego, wykonawców sektora obronnego oraz podmiotów zajmujących się polityką i organizacji pozarządowych”.
Jak ujawnił na blogu Microsoft „Hafnium ma siedzibę w Chinach, prowadzi swoją działalność głównie na dzierżawionych wirtualnych serwerach prywatnych (VPS) w Stanach Zjednoczonych”.


Jak wygląda atak?

Atak jest możliwy do przeprowadzenia w sytuacji, kiedy osoba atakująca uzyska zdalny dostęp do serwera Exchange na porcie 443 (TCP) i go “wyexploituje”.

Po uzyskaniu dostępu do podatnego na ataki serwera Microsoft Exchange, Hafnium instaluje web shell (specjalny ładunek na serwerze www) np. w ASP, który pozwala wykraść dane, przesyłać pliki i wykonać prawie każde polecenie na zaatakowanym systemie.

Dodatkowo wykonuje zrzut pamięci pliku wykonywalnego LSASS.exe za pomocą narzędzia sysinternals „procdump64.exe”, w celu zebrania danych uwierzytelniających się użytkowników z pamięci podręcznej serwera. Wykonuje to za pomocą wstrzykniętego we wcześniejszym kroku implanta w usługach webowych Exchange.
Następnie eksploruje skrzynki pocztowe użytkowników Exchange i wykrada z nich dane, które przesyła spakowane w 7-zip do usług udostępniania plików, takich jak MEGA, skąd przestępcy później mogą je pobrać.

Na końcu Hafnium tworzy stałe połączenie (remote shell) przy użyciu skryptu Nishang napisanego w Powershell’u do serwerów C2 umożliwiając im stały dostęp do maszyny i jej sieci wewnętrznej.


Jakie Microsoft wykrył podatności?

Cyberprzestępcy wykorzystują następujące luki w zabezpieczeniach w celu uzyskania zdalnego dostępu do serwera:

  • CVE-2021-26855 – luka w zabezpieczeniach serwera Exchange służąca do fałszowania żądań (SSRF), która umożliwia atakującemu wysyłanie dowolnych żądań HTTP i uwierzytelnienie jako serwer Exchange.
  • CVE-2021-26857 – niezabezpieczona luka deserializacji w usłudze Unified Messaging. Niezabezpieczona deserializacja ma miejsce, gdy niezaufane dane, którymi można sterować, są deserializowane przez program. Wykorzystanie tej luki daje atakującym możliwość uruchomienia kodu jako SYSTEM na serwerze Exchange. Wymaga uprawnień administratora lub skorzystania z innego exploita.
  • CVE-2021-26858 – post-exploitacyjna luka umożliwiająca zapis dowolnego pliku w programie Exchange. Atakujący może uwierzytelnić się na serwerze Exchange (wykorzystując lukę CVE-2021-26855 SSRF lub naruszając dane uwierzytelniające uprawnionego administratora) i wykorzystać tę lukę do zapisania pliku w dowolnej ścieżce na serwerze.
  • CVE-2021-27065 – post-exploitacyjna luka umożliwiająca zapis dowolnego pliku w programie Exchange. Atakujący może uwierzytelnić się na serwerze Exchange (wykorzystując lukę CVE-2021-26855 SSRF lub naruszając dane uwierzytelniające uprawnionego administratora) i wykorzystać tę lukę do zapisania pliku w dowolnej ścieżce na serwerze.

Środki zaradcze

Ze względu na wagę ataków Microsoft zaleca administratorom natychmiastową instalację aktualizacji i szczególną ochronę serwerów Exchange.

Kevin Beaumont, starszy analityk ds. Analizy zagrożeń firmy Microsoft, stworzył skrypt Nmap, który można użyć do przeskanowania sieci w poszukiwaniu potencjalnie podatnych na ataki serwerów Microsoft Exchange.

Należy go pobrać z github i umieścić w katalogu „/usr/share/nmap/scripts” oraz uruchomić używając polecenia:

nmap –script http-vuln-exchange

Uaktualnienia dla serwerów znajdziecie pod tym linkiem Microsoft.

Po ustaleniu, które serwery Exchange wymagają aktualizacji, należy upewnić się, że na serwerach jest zainstalowana aktualnie obsługiwana aktualizacja zbiorcza (CU) i pakiet zbiorczy aktualizacji (RU).


Jak sprawdzić, czy nasz serwer został zaatakowany?

W celu wykrycia, czy nasz serwer Microsoft Exchange został zhackowany przy użyciu tych luk lub sprawdzenia, czy miały miejsce takie próby wcześniej, Microsoft udostępnił polecenia PowerShell oraz komendy z linii wiersza poleceń pozwalające przeskanować dzienniki zdarzeń (logi) oraz logi serwera Exchange w celu wyszukania specjalnych artefaktów ataku.

Oprócz aplikacji łatek Microsoft zalecamy stosowanie specjalistycznego oprogramowania do monitorowania bezpieczeństwa Microsoft Exchange, które pomoże wykryć dostępy osób trzecich do skrzynek pocztowych oraz próby ataku na usługi Exchange. W tym celu zachęcamy do kontaktu z firmą Appeal.

Podziel się z innymi tym artykułem!