Уязвимости нулевого дня Microsoft Exchange Server

Серьезная атака, использующая четыре уязвимости нулевого дня в локальных версиях Microsoft Exchange Server, была проведена тем, что считается спонсируемым государством злоумышленником. Microsoft уже начала мониторинг деятельности этого хакерского коллектива под обозначением HAFNIUM . Согласно их выводам, группа находится в Китае и пользуется поддержкой правительства Китая.

С помощью эксплойтов хакеры могли незаконно получить доступ к серверу Exchange и создать веб-оболочку, которая давала им удаленный контроль над системой. Основной целью атаки был доступ к конфиденциальным данным, содержащимся в учетных записях электронной почты жертвы и автономной адресной книге Exchange. Однако веб-оболочка также позволяла удалять дополнительные вредоносные программы. В атаке HAFNIUM эта функция использовалась для обеспечения длительного доступа к системам жертвы.

После того, как информация об атаке стала общедоступной, Microsoft обнаружила несколько дополнительных злоумышленников, использующих уязвимости нулевого дня в своей деятельности. Всего за 9 дней было замечено, что новая угроза вымогателя устранена через четыре слабые места в системе безопасности. Угроза получила название DearCry , явная дань уважения печально известной вредоносной программе WannaCry, которая заразила пользователей по всему миру в результате атаки, использующей другой набор уязвимостей Microsoft.

Четыре эксплойта нулевого дня сделали возможной атаку

Нулевые дни, используемые HAFNIUM и другими участниками угроз, отслеживаются как CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065.

Первая, CVE-2021-26855, представляет собой уязвимость подделки запросов на стороне сервера (SSRF), которая позволяет злоумышленникам отправлять произвольные HTTP-запросы и проходить аутентификацию в качестве сервера Exchange.

CVE-2021-26857 - это уязвимость небезопасной десериализации в службе единой системы обмена сообщениями. Короче говоря, этот эксплойт позволял злоумышленникам запускать код как SYSTEM на сервере Exchange.

Последние два эксплойта - CVE-2021-26858 и CVE-2021-27065 - содержат уязвимость записи произвольного файла после аутентификации.

Microsoft выпустила исправления безопасности и инструмент для смягчения атаки

После взлома и из-за его серьезности Microsoft выпустила несколько обновлений безопасности для исправления уязвимостей в более старых версиях своего Exchange Server. Технический гигант также выпустил блог по безопасности, содержащий наблюдаемые IoC (индикаторы взлома), руководство по обнаружению и расширенные поисковые запросы, чтобы клиенты имели лучшее представление о том, где искать признаки потенциально вредоносной активности.

Чтобы помочь более мелким клиентам, у которых нет выделенных отделов кибербезопасности или ИТ, Microsoft также выпустила инструмент смягчения последствий в один клик. Локальное средство устранения рисков Microsoft Exchange предназначено для использования в качестве временной меры безопасности при развертывании Exchange Server 2013, 2016 и 2019, пока заказчик готовится к установке соответствующего обновления безопасности.