Masowo wykorzystywane luki w zabezpieczeniach w MS Exchange Server

pl

Firma Microsoft opublikowała nieplanowane łaty dla kilku luk w zabezpieczeniach serwera Exchange Server. Według niej cztery z tych luk są już używane w atakach ukierunkowanych, a zatem rozsądnym krokiem jest niezwłoczne zainstalowanie tych łat.

Na czym polega zagrożenie?

Cztery najbardziej niebezpieczne luki w zabezpieczeniach, które są już wykorzystywane, umożliwiają atakującym przeprowadzenie ataku w trzech etapach. Najpierw mogą oni uzyskać dostęp do serwera Exchange, utworzyć powłokę internetową w celu uzyskania dostępu do serwera zdalnego, aby wreszcie użyć wykraść dane z sieci ofiary. Wśród wspomnianych luk znajdują się:

• CVE-2021-26855 — może ona zostać użyta do ataku typu „server-side request forgery”, a w efekcie doprowadzić do zdalnego wykonania kodu;
• CVE-2021-26857 — może zostać użyta do wykonania dowolnego kodu w imieniu systemu (chociaż wymaga to uprawnień administratora lub wykorzystania poprzedniej luki);
• CVE-2021-26858 i CVE-2021-27065 — mogą zostać użyte przez atakującego do nadpisania plików na serwerze.

Cyberprzestępcy nie wykorzystują tych luk w zabezpieczeniach pojedynczo; jednak jak twierdzi Microsoft, zamiast ataku wstępnego czasami używają oni skradzionych danych logowania i autoryzują się na serwerze, nie wykorzystując luki CVE-2021-26855.
Ponadto ta sama łata eliminuje kilka innych mniejszych luk w zabezpieczeniach systemu Exchange, które nie są (o ile nam wiadomo) bezpośrednio związane z aktywnymi atakami ukierunkowanymi.

Kto jest narażony na zagrożenie?

Luki te nie dotyczą wersji chmurowej systemu Exchange; stwarzają one zagrożenie tylko dla serwerów zainstalowanych w infrastrukturze. Początkowo firma Microsoft opublikowała aktualizacje dla serwerów Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 oraz Microsoft Exchange Server 2019, a także dodatkową aktualizację „Defense in Depth” dla Microsoft Exchange Server 2010. Jednak ze względu na różnorodność wykorzystania podatności postanowiono o dodaniu łat również dla przestarzałych serwerów Exchange Servers.

Według badaczy z firmy Microsoft wspomniane luki w zabezpieczeniach wykorzystali hakerzy należący do ugrupowania Hafnium, aby ukraść informacje poufne. Wśród ich celów znalazły się amerykańskie firmy z branży przemysłowej, badacze chorób zakaźnych, kancelarie prawne, organizacje non-profit, a także analitycy polityczni. Dokładna liczba ofiar nie jest znana, jednak według źródeł serwisu KrebsOnSecurity za pomocą tych luk zhakowanych zostało co najmniej 30 tysięcy organizacji w Stanach Zjednoczonych, w tym małe firmy, władze miast, a także władze lokalne. Nasi eksperci odkryli, że zagrożone były nie tylko organizacje w Ameryce — luk tych używają cyberprzestępcy z całego świata. Więcej informacji na temat rozkładu geograficznego ataku można znaleźć w naszym poście opublikowanym w serwisie SecureList.

Jak zabezpieczyć system MS Exchange przed takimi atakami

• Po pierwsze, załataj swoją instalację Microsoft Exchange Server. Jeśli Twoje firma nie może zainstalować aktualizacji, firma Microsoft udostępniła kilka pomocnych porad.
• Jak twierdzi Microsoft, początkową fazę ataku może powstrzymać zastosowanie odmowy niezaufanego dostępu do serwera Exchange na porcie 443 lub całkowite ograniczenie połączeń spoza sieci firmowej. Jednak to nie pomoże, jeśli atakujący już przedostali się do infrastruktury albo jeśli nakłonili użytkownika posiadającego uprawnienia administratora do uruchomienia szkodliwego pliku.
• Takie szkodliwe zachowanie może wykrywać np. rozwiązanie klasy Endpoint Detection and Response (jeśli w firmie zatrudnieni są eksperci wewnętrzni) lub zewnętrzni specjaliści w zakresie zarządzanego wykrywania i reagowania.
• Pamiętaj, że każdy komputer, który ma dostęp do internetu — bez względu na to, czy jest to serwer, czy stacja robocza — musi mieć zainstalowany rzetelne rozwiązanie zabezpieczające punkty końcowe, które będzie blokować exploity i proaktywnie wykrywać szkodliwe zachowanie.