2 марта 2021 г. Microsoft выпустила срочное обновление, чтобы закрыть 4 критичные уязвимости в Exchange Server 2010, 2013, 2016, и 2019.
Наша команда реагирования на инциденты и форензики активно включилась в расследования инцидентов, возникших из-за этих новых угроз. Мы наблюдали злонамеренное использование этих уязвимостей для получения удалённого доступа к серверам Exchange и последующей выгрузки критичных данных, включая почтовые ящики целиком.
Пожалуйста, не забывайте, что атакующие наиболее вероятно используют удалённый доступ к Exchange для того, чтобы затем переключиться на ещё более критчные системы, например, контроллеры домена.
Microsoft сообщила о китайской, предположительно спонсируемой государством, группировке HAFNIUM, использующей эти уязвимости. По информации Microsoft, Exchange Online не подвержен этим же уязвимостям.
Наша команда реагирования на инциденты и форензики активно включилась в расследования инцидентов, возникших из-за этих новых угроз. Мы наблюдали злонамеренное использование этих уязвимостей для получения удалённого доступа к серверам Exchange и последующей выгрузки критичных данных, включая почтовые ящики целиком.
Пожалуйста, не забывайте, что атакующие наиболее вероятно используют удалённый доступ к Exchange для того, чтобы затем переключиться на ещё более критчные системы, например, контроллеры домена.
Microsoft сообщила о китайской, предположительно спонсируемой государством, группировке HAFNIUM, использующей эти уязвимости. По информации Microsoft, Exchange Online не подвержен этим же уязвимостям.
Описание уязвимостей
Всего во время атаки эксплуатируются четыре CVE:- CVE-2021-26855 — это уязвимость Exchange, позволяющая подделывать запросы на стороне сервера — server-side request forgery (SSRF), позволяющая атакующим отправлять произвольные запросы HTTP и аутентифицироваться от имени конкретного сервера Exchange
- CVE-2021-26857 — используется для повышения привилегий — privilege escalation, с целью получить на сервере привилегии системной учётной записи: SYSTEM
- CVE-2021-26858 и CVE-2021-27065 используются для записи файлов в произвольную (любую) папку на сервере.
Как происходит атака
- Злоумышленники находят уязвимые серверы Exchange с открытым портом HTTP 443
- Эксплуатируют уязвимость SSRF (первую из описанных выше) для получения необходимого доступа и аутентификации от имени этого сервера Exchange
- Получают привилегии системной учетной записи (SYSTEM), эксплуатируя следующую уязвимость, и выполняют вредоносный код, помимо этого собирая данные этой учетной записи и хэшах паролей (например, с помощью ProcDump)
- Используют уже имеющиеся права доступа сервера Exchange для прямого доступа к контроллерам домена с целью повышения привилегий в домене и/или создания плацдарма, обеспечивающего максимально возможное постоянное присутствие в домене
- Ищут интересные для них почтовые ящики, цепочки переписки и другие файлы, содержащие критичные данные и подготавливают их к «выносу» из организации
- Устанавливают WebShell, извлекают данные и выгружают их на сайты широко используемых файлообменных сервисов.