Kerentanan Zero-hari Pelayan Microsoft Exchange
Serangan teruk yang mengeksploitasi empat kelemahan hari sifar dalam versi Exchange Server Microsoft di tempat dilakukan oleh yang dipercayai sebagai pelaku ancaman yang ditaja oleh negara. Microsoft telah mula memantau kegiatan kumpulan penggodam ini dengan sebutan HAFNIUM. Menurut penemuan mereka, kumpulan itu terletak di China dan disokong oleh pemerintah China.
Melalui eksploitasi, peretas secara haram dapat memperoleh akses ke Exchange Server dan membuat shell web yang memberi mereka alat kawalan jauh terhadap sistem. Tujuan utama serangan itu adalah untuk mengakses data sensitif yang terdapat dalam akaun e-mel mangsa dan buku alamat pertukaran luar talian. Shell web, bagaimanapun, juga memungkinkan untuk menurunkan muatan malware tambahan. Dalam serangan HAFNIUM, fungsi itu digunakan untuk memastikan akses berpanjangan ke sistem korban.
Setelah maklumat mengenai serangan itu menjadi umum, Microsoft mengesan beberapa pelaku ancaman tambahan yang memasukkan kerentanan zero-day ke dalam operasi mereka. Hanya dalam 9 hari, ancaman ransomware baru dapat dilihat melalui empat kelemahan keselamatan. Ancaman itu diberi nama DearCry, penghormatan yang jelas kepada perisian jahat WannaCry yang menjangkiti pengguna di seluruh dunia dalam serangan yang mengeksploitasi rangkaian kelemahan Microsoft yang berbeza.
Empat Hari Zero-Day Mengaktifkan Serangan
Hari sifar yang dieksploitasi oleh HAFNIUM dan pelaku ancaman lain dikesan sebagai CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065.
Yang pertama, CVE-2021-26855, adalah kerentanan pemalsuan permintaan sisi pelayan (SSRF) yang membolehkan penyerang menghantar permintaan HTTP sewenang-wenang dan mengesahkan sebagai pelayan Exchange.
CVE-2021-26857 adalah kerentanan deserialisasi yang tidak selamat dalam perkhidmatan Pemesejan Bersatu. Ringkasnya, eksploitasi ini membolehkan penyerang menjalankan kod sebagai SISTEM di servis Exchange.
Dua eksploitasi terakhir - CVE-2021-26858 dan CVE-2021-27065, keduanya terdiri daripada kerentanan penulisan fail sewenang-wenang pasca pengesahan.
Microsoft Melancarkan Patch dan Alat Keselamatan untuk Mengurangkan Serangan
Setelah berlakunya pelanggaran dan kerana keparahannya, Microsoft melancarkan beberapa kemas kini keselamatan untuk memperbaiki kelemahan dalam versi lama Server Exchange mereka. Raksasa teknologi itu juga mengeluarkan blog keselamatan yang mengandungi IoC (Indikator Kompromi) yang diperhatikan, panduan pengesanan, dan pertanyaan perburuan lanjutan sehingga pelanggan mempunyai idea yang lebih baik di mana untuk memeriksa tanda-tanda aktiviti yang berpotensi berbahaya.
Untuk membantu pelanggan yang lebih kecil yang tidak mempunyai bahagian keselamatan siber atau IT khusus, Microsoft juga telah mengeluarkan alat mitigasi satu klik. Alat Mitigasi Microsoft Exchange On-Premises dimaksudkan untuk digunakan sebagai langkah keselamatan sementara pada penggunaan Exchange Server 2013, 2016, dan 2019 sementara pelanggan bersiap untuk memasang kemas kini keselamatan yang sesuai.