Microsoft Exchange Server nul-dags sårbarheder

Et alvorligt angreb, der udnytter fire nul-dags sårbarheder i lokale versioner af Microsofts Exchange Server, blev udført af det, der menes at være en statsstøttet trusselsaktør. Microsoft var allerede begyndt at overvåge aktiviteterne i dette hacker-kollektiv under betegnelsen HAFNIUM. Ifølge deres fund er gruppen placeret i Kina og støttet af den kinesiske regering.

Gennem bedrifterne kunne hackerne ulovligt få adgang til Exchange Server og oprette en web-shell, der gav dem fjernbetjening over systemet. Hovedformålet med angrebet var at få adgang til følsomme data indeholdt i offerets e-mail-konti og Exchange offline adressebog. Webskallen tillod dog også, at yderligere malware-nyttelast kunne droppes. I HAFNIUM-angrebet blev denne funktionalitet brugt til at sikre langvarig adgang til ofrets systemer.

Efter at oplysninger om angrebet blev offentligt, opdagede Microsoft flere yderligere trusselaktører, der inkorporerede nul-dags sårbarheder i deres operationer. På bare 9 dage blev en ny ransomware-trussel observeret leveret gennem de fire sikkerhedssvagheder. Truslen blev opkaldt DearCry, en åbenbar hyldest til den berygtede WannaCry-malware, der inficerede brugere over hele verden i et angreb, der udnytter et andet sæt Microsoft-sårbarheder.

Fire Zero-Day Exploits aktiverede angrebet

Nul-dage udnyttet af HAFNIUM og de andre trusselaktører spores som CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065.

Den første, CVE-2021-26855, er en SSRF-sårbarhed på serversiden, der gør det muligt for angribere at sende vilkårlige HTTP-anmodninger og godkende som Exchange-serveren.

CVE-2021-26857 er en usikker deserialiseringssårbarhed i Unified Messaging-tjenesten. Kort sagt tillod denne udnyttelse angribere at køre kode som SYSTEM på Exchange-tjenesten.

De sidste to udnyttelser - CVE-2021-26858 og CVE-2021-27065, begge består af en sårbarhed efter vilkårlig filskrivning.

Microsoft frigav sikkerhedsopdateringer og værktøj til at afbøde angrebet

I kølvandet på bruddet og på grund af dets sværhedsgrad frigav Microsoft flere sikkerhedsopdateringer for at patchere sårbarhederne i ældre versioner af deres Exchange Server. Teknologigiganten udgav også en sikkerhedsblog, der indeholder observeret IoC (Indicators of Compromise), afsløringsvejledning og avancerede jagtforespørgsler, så kunderne får en bedre idé om, hvor de skal kontrollere for tegn på potentielt ondsindet aktivitet.

For at hjælpe mindre kunder, der ikke har dedikerede cybersikkerheds- eller it-afdelinger, har Microsoft også frigivet et reduktionsværktøj med et enkelt klik. Microsoft Exchange On-Premises Mitigation Tool er beregnet til at blive brugt som en midlertidig sikkerhedsforanstaltning på Exchange Server 2013, 2016 og 2019-implementeringer, mens kunden forbereder sig på at installere den relevante sikkerhedsopdatering.