Хаки Microsoft Exchange: как они появились и где мы сейчас находимся

отредактировано 18 мар Раздел: Уязвимости систем и приложений
Экстренные исправления для недавно обнаруженных критических уязвимостей в почтовом сервере Microsoft Exchange появились не сразу, и у организаций было мало времени на подготовку до начала массовой эксплуатации.

Ошибка, получившая название ProxyLogon, использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дало злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.

Уязвимые серверы являются привлекательной целью для широкого спектра групп. Злоумышленники из национальных государств, кибергруппы Ransomware и майнинг криптовалют уже использовали ProxyLogon.

С выпущенными исправлениями и появлением кода эксплойта PoC в сети тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.

Обнаружена угроза ProxyLogon
10 декабря 2020 года исследователь DEVCORE Orange Tsai обнаружил CVE-2021-26855, критическую ошибку подделки запросов на стороне сервера (SSRF), которая позволяет обходить аутентификацию в Microsoft Exchange.

DEVCORE назвал ошибку ProxyLogon, и в конце декабря Tsai нашел вторую (CVE-2021-27065), которую можно было использовать для удаленного выполнения кода.

5 января 2021 года исследователь отправил в Microsoft отчет вместе с эксплойтом, связывающим две уязвимости,
чтобы доказать обоснованность своих выводов.



APT-группы имели преимущество на два месяца

В том же месяце компания Volexity по анализу угроз и реагированию на инциденты обнаружила атаки ProxyLogon, направленные на взлом сетей или кражу данных электронной почты.

Более тщательное изучение показало, что «операции кибершпионажа с использованием SSRF-уязвимости CVE-2021-26855 начались 3 января 2021 года», за два дня до того, как DEVCORE отправила отчет в Microsoft.

В январе несколько компаний, занимающихся кибербезопасностью, обнаружили атаки на локальные серверы Exchange в клиентских средах с использованием уязвимостей нулевого дня.

В том же месяце была взломана сеть по крайней мере одного клиента FireEye, и злоумышленник создал веб-оболочки для постоянного доступа и удаленного выполнения кода, а деятельность «предполагала использование CVE-2021-26858», - заявили в компании.

Удаление веб-оболочек (файлов ASPX) - это тоже то, что видел Volexity, с последующим сбросом учетных данных, добавлением учетных записей пользователей, кражей копий базы данных Active Directory (NTDS.DIT) и боковым перемещением по сети.

Также в январе датская компания по реагированию на инциденты Dubex исследовала активность на серверах Exchange, которые использовали эксплойт нулевого дня (CVE-2021-26857) для записи веб-шеллов на диск, указав набор из трех файлов ASPX среди индикаторов взлома (IoC). .

2 марта Microsoft выпустила обновления для Exchange Server и сообщила о «множестве эксплойтов нулевого дня, используемых для атак на локальные версии Microsoft Exchange Server в ограниченных и целевых атаках».

CVE-2021-26855, SSRF до аутентификации
CVE-2021-26857, небезопасная десериализация, приводящая к эскалации привилегий до уровня SYSTEM
CVE-2021-26858, запись файла после аутентификации
CVE-2021-27065, запись файла после аутентификации

ESET сообщила, что кроме Hafnium, другие участники - Tick, LuckyMouse, Calypso, Winnti, Websiic - многие из которых связаны с Китаем, активно использовали их как минимум с 28 февраля, и рекомендовали организациям искать подозрительные файлы ASPX.
«Это говорит о том, что несколько злоумышленников получили доступ к деталям уязвимостей до выпуска исправления, что означает, что мы можем исключить возможность того, что они создали эксплойт путем обратного проектирования обновлений Microsoft» - ESET

Злоумышленник использовал эксплойт DEVCORE

Один из эксплойтов, использовавшихся до появления исправлений, - это та же цепочка, которую DEVCORE отправил в Microsoft 5 января в рамках ответственного раскрытия информации.

DEVCORE подтверждает это в обновлении на веб-сайте ProxyLogon, отмечая, что он начал расследование после того, как Volexity сообщил об активной эксплуатации ошибки SSRF.

Согласно отчету Wall Street Journal, Microsoft в настоящее время расследует, не произошла ли утечка информации одним из ее партнеров, имевших доступ к информации, преднамеренно или случайно.

Широкий спектр злоумышленников

После выхода официальных исправлений уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более активно подвергаться атакам.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

PoC и инструменты атаки
С 10 марта в сети начал появляться PoC-эксплойт для массово эксплуатируемых уязвимостей Exchange. Первым вариантом был эксплойт удаленного выполнения кода с ошибками, который Microsoft быстро извлек из GitHub, чтобы предотвратить злоупотребления в еще более крупных масштабах.

На выходных появился новый PoC ProxyLogon, увеличивающий шансы даже неопытных злоумышленников атаковать уязвимые серверы Exchange, которых, вероятно, исчисляются тысячами.

Кроме того, существует множество информации для воспроизведения эксплойта ProxyLogon путем реверс-инжиниринга официальных исправлений от Microsoft. Фирма по кибербезопасности Praetorian опубликовала блог с полной технической информацией о создании работающего сквозного эксплойта.
SophosLabs создал инструмент под названием metasploit_gather_exchange, который может извлекать все содержимое почтового ящика в виде файла PST. Он не помогает взламывать серверы Exchange, но предназначен в качестве инструмента после эксплуатации для участия в тестах на проникновение.

Даже если серверы не обращены к общедоступному Интернету, компании должны обновить их, чтобы защитить себя от субъектов, которые могут находиться в локальной сети.

Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время кибергруппы будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».

«Этот доступ позволяет им развертывать шифрование на предприятии.», - Джон Халтквист.

Инструменты и информация

CISA опубликовала семь отчетов об анализе вредоносного ПО, в которых указаны меры по устранению уязвимостей Microsoft Exchange Server. Каждый из них предоставляет подробную информацию о веб-оболочке, используемой в атаках, чтобы дать злоумышленнику удаленное администрирование системы.

Администраторы также могут использовать сценарий PowerShell, чтобы проверить, не были ли серверы Exchange взломаны с помощью уязвимостей ProxyLogon. Он автоматизирует набор команд, которые также можно запускать вручную для тестирования одного или всех локальных серверов.

https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/

Тэги темы:

Комментарии

  • отредактировано 31 мар PM
    Количество атак Microsoft Exchange увеличивается, а WannaCry перезапускается

    Недавно исправленные уязвимости в Microsoft Exchange вызвали новый интерес у киберпреступников, которые увеличили количество атак, сосредоточенных на этом конкретном векторе.

    В то время как количество атак программ-вымогателей увеличилось за последние шесть месяцев, компания Check Point, занимающаяся кибербезопасностью, на прошлой неделе заметила всплеск инцидентов, нацеленных на серверы Microsoft Exchange, уязвимые для так называемых критических ошибок ProxyLogon.

    Даже несмотря на то, что исправления продвигались быстрыми темпами, компания отметила, что количество попыток атак по всему миру утроилось, насчитывая десятки тысяч.

    Microsoft Exchange по-прежнему привлекателен

    По данным Microsoft, 14 марта было около 82 000 уязвимых серверов Exchange. Примерно через неделю это число значительно упало до примерно 30 000 уязвимых машин, согласно данным RiskIQ.

    Данные телеметрии Check Point на прошлой неделе показали более 50 000 попыток атак по всему миру, большинство из которых были нацелены на организации в правительственном / военном, производственном и банковском / финансовом секторах.

    Почти половина попыток использования эксплойтов произошла в США (49%), что на сегодняшний день является наиболее привлекательным регионом по сравнению с другими странами, где Check Point зарегистрировал гораздо меньше инцидентов (Великобритания - 5%, Нидерланды и Германия - по 4%).

    Атаки программ-вымогателей растут, WannaCry все еще остается проблемой

    Компания зафиксировала рост атак программ-вымогателей на 57% за последние шесть месяцев на глобальном уровне. Более тревожным является постоянный ежемесячный рост на 9% с начала года.

    Помимо наблюдаемых обычных штаммов вымогателей (Maze, Ryuk, REvil), компания отмечает рост на 53% числа организаций, пострадавших от вируса-вымогателя WannaCry.

    «Фактически, CPR обнаружил, что в марте 2021 года пострадавших организаций в 40 раз больше по сравнению с октябрем 2020 года. Новые образцы по-прежнему используют эксплойт EternalBlue для распространения - исправления для которого доступны уже более 4 лет» - Check Point

    Причина такого большого числа в том, что WannaCry подвержен заражению червями, а тысячи систем по-прежнему уязвимы для EternalBlue и доступны через общедоступный Интернет.

    Check Point наблюдала ту же тенденцию, начиная с декабря 2020 года, и в марте 2021 года количество атак продолжало увеличиваться более чем на 12000.

    https://www.bleepingcomputer.com/news/security/microsoft-exchange-attacks-increase-while-wannacry-gets-a-restart/
Войдите или Зарегистрируйтесь чтобы комментировать.