Luki w zabezpieczeniach programu Microsoft Exchange Server typu zero-day

Poważny atak wykorzystujący cztery luki typu „zero-day" w lokalnych wersjach programu Microsoft Exchange Server został przeprowadzony przez podmiot, który uważa się za sponsorowany przez państwo. Microsoft zaczął już monitorować działalność tego kolektywu hakerskiego pod nazwą HAFNIUM. Według ich ustaleń grupa ma siedzibę w Chinach i jest wspierana przez chiński rząd.

Dzięki exploitom hakerzy mogli nielegalnie uzyskać dostęp do serwera Exchange i stworzyć powłokę internetową, która zapewniłaby im zdalną kontrolę nad systemem. Głównym celem ataku było uzyskanie dostępu do poufnych danych zawartych na kontach e-mail ofiary oraz w książce adresowej Exchange offline. Jednak powłoka internetowa umożliwiła również porzucenie dodatkowych ładunków szkodliwego oprogramowania. W ataku HAFNIUM funkcjonalność ta została wykorzystana w celu zapewnienia przedłużonego dostępu do systemów ofiary.

Po upublicznieniu informacji o ataku firma Microsoft wykryła wiele dodatkowych aktorów zagrożeń, wykorzystujących luki dnia zerowego w swoich działaniach. W ciągu zaledwie 9 dni zaobserwowano, że nowe zagrożenie ransomware zostało dostarczone przez cztery luki w zabezpieczeniach. Zagrożenie zostało nazwane DearCry, co jest oczywistym hołdem dla niesławnego szkodliwego oprogramowania WannaCry, które zainfekowało użytkowników na całym świecie atakiem wykorzystującym inny zestaw luk w zabezpieczeniach firmy Microsoft.

Cztery exploity dnia zerowego umożliwiły atak

Zero dni wykorzystywane przez HAFNIUM i inne podmioty stanowiące zagrożenie są śledzone jako CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065.

Pierwsza z nich, CVE-2021-26855, to luka w zabezpieczeniach służąca do fałszowania żądań po stronie serwera (SSRF), która umożliwia atakującym wysyłanie dowolnych żądań HTTP i uwierzytelnianie jako serwer Exchange.

CVE-2021-26857 to niezabezpieczona luka deserializacji w usłudze Unified Messaging. W skrócie, ten exploit pozwolił atakującym na uruchomienie kodu jako SYSTEM na serwerze Exchange.

Dwa ostatnie exploity - CVE-2021-26858 i CVE-2021-27065, oba zawierają lukę umożliwiającą zapis dowolnego pliku po uwierzytelnieniu.

Firma Microsoft wydała poprawki zabezpieczeń i narzędzie do złagodzenia ataku

W następstwie włamania i ze względu na jego wagę firma Microsoft wydała kilka aktualizacji zabezpieczeń, aby załatać luki w starszych wersjach swojego serwera Exchange. Gigant technologiczny opublikował również blog poświęcony bezpieczeństwu, zawierający obserwowane IoC (wskaźniki naruszenia bezpieczeństwa), wskazówki dotyczące wykrywania i zaawansowane zapytania łowieckie, dzięki czemu klienci mają lepszy pomysł, gdzie szukać oznak potencjalnie złośliwej aktywności.

Aby pomóc mniejszym klientom, którzy nie mają dedykowanych działów cyberbezpieczeństwa lub IT, firma Microsoft udostępniła również narzędzie łagodzące ryzyko jednym kliknięciem. Narzędzie Microsoft Exchange On-Premises Mitigation ma być używane jako tymczasowy środek bezpieczeństwa we wdrożeniach Exchange Server 2013, 2016 i 2019, podczas gdy klient przygotowuje się do zainstalowania odpowiedniej aktualizacji zabezpieczeń.