Microsoft Exchange Server nolldagars sårbarheter
En allvarlig attack som utnyttjar fyra nolldagars sårbarheter i lokala versioner av Microsofts Exchange Server utfördes av vad som tros vara en statligt sponsrad hotaktör. Microsoft hade redan börjat övervaka aktiviteterna för detta hackarkollektiv under beteckningen HAFNIUM. Enligt deras resultat ligger gruppen i Kina och stöds av den kinesiska regeringen.
Genom exploaterna kunde hackarna olagligt få tillgång till Exchange Server och skapa ett webbskal som gav dem fjärrkontroll över systemet. Huvudsyftet med attacken var att få tillgång till känslig information som finns i offrets e-postkonton och Exchange offline-adressboken. Webbskalet tillät dock också att ytterligare skadliga nyttolaster kan släppas. I HAFNIUM-attacken användes denna funktion för att säkerställa långvarig åtkomst till offrets system.
Efter att information om attacken blev offentlig upptäckte Microsoft flera ytterligare hotaktörer som införde nolldagars sårbarheter i sin verksamhet. På bara nio dagar sågs ett nytt ransomware-hot levereras genom de fyra säkerhetsbristerna. Hotet heter DearCry, en uppenbar hyllning till den ökända WannaCry-skadlig programvara som infekterade användare över hela världen i en attack som utnyttjar en annan uppsättning Microsoft-sårbarheter.
Fyra nolldagarsanvändningar aktiverade attacken
Nolldagarna som utnyttjas av HAFNIUM och de andra hotaktörerna spåras som CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 och CVE-2021-27065.
Den första, CVE-2021-26855, är en SSRF-sårbarhet på serversidan som gör det möjligt för angripare att skicka godtyckliga HTTP-förfrågningar och autentisera som Exchange-servern.
CVE-2021-26857 är en osäker sårbarhet för deserialisering i Unified Messaging-tjänsten. Kort sagt, denna exploatering gjorde det möjligt för angripare att köra kod som SYSTEM på Exchange-tjänsten.
De två sista utnyttjandena - CVE-2021-26858 och CVE-2021-27065, båda består av en godtycklig sårbarhet för skrivskrivning efter autentisering.
Microsoft släppte säkerhetsuppdateringar och verktyg för att mildra attacken
I kölvattnet av brottet och på grund av dess svårighetsgrad släppte Microsoft flera säkerhetsuppdateringar för att korrigera sårbarheterna i äldre versioner av deras Exchange Server. Teknikjätten släppte också en säkerhetsblogg som innehöll observerad IoC (Indicators of Compromise), detekteringsvägledning och avancerade jaktfrågor så att kunderna får en bättre uppfattning om var de ska kontrollera om tecken på potentiellt skadlig aktivitet.
För att hjälpa mindre kunder som inte har dedikerade cybersäkerhets- eller IT-avdelningar har Microsoft också släppt ett verktyg för att mildra ett klick. Microsoft Exchange On-Premises Mitigation Tool är avsett att användas som en tillfällig säkerhetsåtgärd på Exchange Server 2013, 2016 och 2019-distributioner medan kunden förbereder sig för att installera lämplig säkerhetsuppdatering.
