2 марта 2021 г. Microsoft выпустила срочное обновление, чтобы закрыть 4 критичные уязвимости в Exchange Server 2010, 2013, 2016, и 2019.

Наша команда реагирования на инциденты и форензики активно включилась в расследования инцидентов, возникших из-за этих новых угроз. Мы наблюдали злонамеренное использование этих уязвимостей для получения удалённого доступа к серверам Exchange и последующей выгрузки критичных данных, включая почтовые ящики целиком.

Пожалуйста, не забывайте, что атакующие наиболее вероятно используют удалённый доступ к Exchange для того, чтобы затем переключиться на ещё более критчные системы, например, контроллеры домена.

Microsoft сообщила о китайской, предположительно спонсируемой государством, группировке HAFNIUM, использующей эти уязвимости. По информации Microsoft, Exchange Online не подвержен этим же уязвимостям.

Описание уязвимостей


Всего во время атаки эксплуатируются четыре CVE:

  • CVE-2021-26855 — это уязвимость Exchange, позволяющая подделывать запросы на стороне сервера — server-side request forgery (SSRF), позволяющая атакующим отправлять произвольные запросы HTTP и аутентифицироваться от имени конкретного сервера Exchange
  • CVE-2021-26857 — используется для повышения привилегий — privilege escalation, с целью получить на сервере привилегии системной учётной записи: SYSTEM
  • CVE-2021-26858 и CVE-2021-27065 используются для записи файлов в произвольную (любую) папку на сервере.

Группы злоумышленников увязывают эксплуатации этих уязвимостей воедино с целью проведения результативных атак. Вы можете дополнительно ознакомиться с анализом этих эксплуатаций от Veloxity.

Как происходит атака


  1. Злоумышленники находят уязвимые серверы Exchange с открытым портом HTTP 443
  2. Эксплуатируют уязвимость SSRF (первую из описанных выше) для получения необходимого доступа и аутентификации от имени этого сервера Exchange
  3. Получают привилегии системной учетной записи (SYSTEM), эксплуатируя следующую уязвимость, и выполняют вредоносный код, помимо этого собирая данные этой учетной записи и хэшах паролей (например, с помощью ProcDump)
  4. Используют уже имеющиеся права доступа сервера Exchange для прямого доступа к контроллерам домена с целью повышения привилегий в домене и/или создания плацдарма, обеспечивающего максимально возможное постоянное присутствие в домене
  5. Ищут интересные для них почтовые ящики, цепочки переписки и другие файлы, содержащие критичные данные и подготавливают их к «выносу» из организации
  6. Устанавливают WebShell, извлекают данные и выгружают их на сайты широко используемых файлообменных сервисов.

Как защититься и обнаружить признаки компрометации


  • Убедитесь, что все серверы Exchange, по всем вашим доменам, полностью обновлены. Это означает, что на них развёрнуты последние обновления Microsoft для установленных продуктов: Cumulative Update и Security Update.
  • Команда Microsoft опубликовала PowerShell скрипт для того, чтобы помочь вам в поисках признаков компрометации этих конкретных атак, таких как созданные злоумышленниками файлы с расширением ASPX(.aspx)
  • Исследователь Кевин Бьюмон (Kevin Beaumont) также выпустил «сделанный на скорую руку» скрипт nmap для поиска потенциально уязвимых серверов в вашем окружении
  • Проверьте ваш веб-интерфейс Varonis DatAlert на предмет оповещений от моделей угроз:

    • о нестандартной активности сервисных учетных записей, особенно относящихся к Exchange;
    • о наличии вредоносных подключений извне через Web, включая разведку обратными запросами, манипуляцию, а также выгрузку данных через DNS (требует мониторинга потоков данных телеметрии с SWG [web-proxy] и DNS с помощью модуля Edge);
    • о нетипичном доступе к данным и аутентификациям на участниках сети, исходящих с «внешних» почтовых серверов Exchange;
    • о нетипичных попытках массового доступа к данным, особенно критичным, и попыткам их отправить наружу (помимо уже указанных модулей, требует наличия модуля классификации данных – Data Classification Engine).

P.S. Если Вам нужна ЛЮБАЯ помощь, пожалуйста, свяжитесь с российской командой Varonis или обратитесь напрямую к специалистам отдела расследования инцидентов через специальную страницу на нашем сайте и мы сделаем всё возможное и зависящее от нас, чтобы убедиться, что вы в безопасности, даже если ваша компания не является заказчиком Varonis.