Четыре уязвимости нулевого дня в Microsoft Exchange Server активно эксплуатируются спонсируемой государством группой угроз из Китая и, похоже, были использованы другими кибератаками в широкомасштабных атаках.
Хотя нет никаких оснований полагать, что это связано с атакой на цепочку поставок SolarWinds, которая затронула примерно 18 000 организаций по всему миру — на данный момент — есть опасения, что задержки в установке исправлений на уязвимых серверах могут иметь такое же или даже худшее влияние на предприятия.
Также: Лучшие VPN • Лучшие ключи безопасности • Лучший антивирус
Вот все, что вам нужно знать о проблемах безопасности, и наше руководство будет обновляться по мере развития сюжета.
Содержание статьи
Что случилось?
2 марта Microsoft выпустила исправления для устранения четырех серьезных уязвимостей в программном обеспечении Microsoft Exchange Server. В то время компания заявила, что ошибки активно использовались в «ограниченных целевых атаках».
Microsoft Exchange Server — это почтовый ящик, календарь и решение для совместной работы. Пользователи варьируются от крупных предприятий до малых и средних предприятий по всему миру.
Несмотря на то, что исправления были выпущены, объем потенциального взлома Exchange Server зависит от скорости и использования исправлений, а количество предполагаемых жертв продолжает расти.
Каковы уязвимости и почему они важны?
Критические уязвимости влияют на локальные Exchange Server 2013, Exchange Server 2016 и Exchange Server 2019. Однако Exchange Online не затрагивается.
- CVE-2021-26855: CVSS 9.1: уязвимость подделки запросов на стороне сервера (SSRF), приводящая к отправке созданных HTTP-запросов злоумышленниками, не прошедшими проверку подлинности. Серверы должны иметь возможность принимать ненадежные соединения через порт 443, чтобы сработала ошибка.
- CVE-2021-26857: CVSS 7.8: уязвимость небезопасной десериализации в единой службе обмена сообщениями Exchange, позволяющая развертывать произвольный код в системе. Однако эту уязвимость необходимо объединить с другой, иначе необходимо использовать украденные учетные данные.
- CVE-2021-26858: CVSS 7.8: уязвимость записи произвольных файлов после аутентификации для записи в пути.
- CVE-2021-27065: CVSS 7.8: уязвимость записи произвольных файлов после аутентификации для записи в пути.
При использовании в цепочке атак все эти уязвимости могут привести к удаленному выполнению кода (RCE), захвату сервера, бэкдорам, краже данных и потенциально дальнейшему развертыванию вредоносного ПО.
Таким образом, Microsoft утверждает, что злоумышленники защищают доступ к серверу Exchange либо с помощью этих ошибок, либо с помощью украденных учетных данных, а затем они могут создать веб-оболочку для захвата системы и удаленного выполнения команд.
«Эти уязвимости используются как часть цепочки атак», — заявляет Microsoft. «Первоначальная атака требует возможности установить ненадежное соединение с портом 443 сервера Exchange. От этого можно защититься, ограничив ненадежные соединения или настроив VPN для отделения сервера Exchange от внешнего доступа. Использование этого средства защиты защитит только от начальная часть атаки; другие части цепочки могут быть запущены, если злоумышленник уже имеет доступ или может убедить администратора запустить вредоносный файл ».
Кто несет ответственность за известные атаки?
Microsoft утверждает, что атаки с использованием уязвимостей нулевого дня восходят к Hafnium.
Hafnium — спонсируемая государством группа повышенной постоянной угрозы (APT) из Китая, которая описывается компанией как «высококвалифицированный и изощренный субъект».
Хотя Hafnium происходит из Китая, группа использует сеть виртуальных частных серверов (VPS), расположенных в США, чтобы попытаться скрыть свое истинное местонахождение. Группа ранее преследовала цель, в том числе аналитические центры, некоммерческие организации, оборонных подрядчиков и исследователей.
Это просто гафний?
Когда обнаруживаются уязвимости нулевого дня и выпускаются экстренные исправления безопасности, если задействовано популярное программное обеспечение, последствия могут быть огромными. Проблемы часто могут быть связаны с осведомленностью о новых исправлениях, медленным внедрением или причинами, по которым ИТ-персонал не может применить исправление — будь то потому, что они не знают, что организация использует программное обеспечение, сторонние библиотеки или компоненты, подверженные риску, или, возможно, из-за проблем с совместимостью.
Согласно Volexity, атаки с использованием четырех нулевых дней могли начаться уже 6 января 2021 года.
Mandiant сообщает, что к дальнейшим атакам на цели в США относятся органы местного самоуправления, университет, инженерная компания и предприятия розничной торговли. Фирма кибер-криминалистики считает, что уязвимости могут быть использованы для развертывания программ-вымогателей и кражи данных.
Источники сообщили эксперту по кибербезопасности Брайану Кребсу, что на данный момент взломано около 30 000 организаций в США. По оценкам Bloomberg, по состоянию на 8 марта эта цифра приближалась к 60 000.
Европейское банковское управление стало одной из последних жертв. Доступ к данным мог быть получен с почтовых серверов агентства.
Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) сообщает, что агентство «осведомлено о злоумышленниках, использующих инструменты с открытым исходным кодом для поиска уязвимых серверов Microsoft Exchange».
В обновлении от марта 5, Microsoft заявила, что компания «продолжает видеть все более широкое использование этих уязвимостей в атаках, нацеленных на незащищенные системы несколькими злоумышленниками, помимо Hafnium».
Ожидается, что администрация Байдена сформирует целевую группу для изучения сообщаемых связей между Атаки Microsoft Exchange и Китай, сообщает CNN.
Как я могу проверить свои серверы и их уязвимость? Что мне теперь делать?
Microsoft призвала ИТ-администраторов и клиентов немедленно применить исправления безопасности. Однако то, что исправления применяются сейчас, не означает, что серверы еще не были зарезервированы или скомпрометированы иным образом.
Также доступны временные руководства по вариантам смягчения, если немедленное исправление невозможно.
Редмондский гигант также опубликовал на GitHub скрипт, доступный для запуска ИТ-администраторам, который включает индикаторы компрометации (IOC), связанные с четырьмя уязвимостями. IoC перечислены здесь отдельно.
3 марта CISA издала чрезвычайную директиву, которая потребовала от федеральных агентств немедленно проанализировать все серверы, на которых работает Microsoft Exchange, и применить предоставленные фирмой исправления.
Если есть какие-либо признаки подозрительного поведения, датируемые 1 сентября 2020 года, CISA требует, чтобы агентства отключили их от Интернета, чтобы снизить риск дальнейшего ущерба.
Microsoft продолжает исследования, и по мере появления дополнительной информации мы будем обновлять.
Предыдущее и связанное с ним покрытие
Есть подсказка? Безопасно связывайтесь через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0