Рањивости Microsoft Exchange Server нула дана

Озбиљни напад који је искористио четири рањивости нула дана у локалним верзијама Мицрософт-овог Екцханге сервера извео је онај за кога се верује да је актер претње који спонзорише држава. Мицрософт је већ почео да надгледа активности овог хакерског колектива под ознаком ХАФНИУМ. Према њиховим сазнањима, група се налази у Кини, а подржава је кинеска влада.

Кроз експлоатације, хакери су могли илегално да добију приступ Екцханге серверу и креирају веб љуску која им даје даљински надзор над системом. Главна сврха напада била је приступ осетљивим подацима садржаним у жртвиним е-маил рачунима и Екцханге офлајн адресару. Веб-љуска је, међутим, дозволила и испуштање додатних корисних терета малвера. У нападу ХАФНИУМ, та функционалност је коришћена да обезбеди продужени приступ жртвиним системима.

Након што су информације о нападу постале јавне, Мицрософт је открио више додатних актера претњи који укључују рањивости нултог дана у своје операције. За само 9 дана примећена је нова претња рансомваре-ом која је испоручена кроз четири безбедносне слабости. Пријетња је названа ДеарЦри , очигледан омаж злогласном малверу ВаннаЦри који је заразио кориснике широм свијета у нападу који искориштава другачији скуп Мицрософт рањивости.

Четири нулте дневне експлоатације омогућиле су напад

Нулти дани које су користили ХАФНИУМ и други актери претње прате се као ЦВЕ-2021-26855, ЦВЕ-2021-26857, ЦВЕ-2021-26858 и ЦВЕ-2021-27065.

Прва, ЦВЕ-2021-26855, је рањивост захтева за фалсификат на страни сервера (ССРФ) која омогућава нападачима да шаљу произвољне ХТТП захтеве и потврде идентитет као Екцханге сервер.

ЦВЕ-2021-26857 је несигурна рањивост десериализације у услузи обједињене размене порука. Укратко, ова експлоатација је омогућила нападачима да покрећу код као СИСТЕМ на Екцханге услузи.

Последње две експлоатације - ЦВЕ-2021-26858 и ЦВЕ-2021-27065, састоје се од произвољне рањивости при писању датотека након аутентификације.

Мицрософт је објавио сигурносне закрпе и алат за ублажавање напада

Услед кршења и због озбиљности, Мицрософт је објавио неколико безбедносних исправки за поправљање рањивости у старијим верзијама њиховог Екцханге сервера. Технички гигант је такође објавио безбедносни блог који садржи уочени ИоЦ (индикатори компромиса), смернице за откривање и напредне упите за лов, тако да купци имају бољу идеју где могу да провере знакове потенцијално злонамерних активности.

Да би помогао мањим купцима који немају посвећена одељења за кибербезбедност или ИТ, Мицрософт је такође објавио алатку за ублажавање једним кликом. Алат за ублажавање смештаја у систему Мицрософт Екцханге намењен је коришћењу као привремена мера безбедности на применама Екцханге Сервер 2013, 2016 и 2019, док се купац припрема за инсталирање одговарајуће безбедносне исправке.