Microsoft: „Te luki zero-day w serwerze Exchange są wykorzystywane przez hakerów, więc zaktualizuj Microsoft Exchange już teraz!”
Microsoft udostępnił aktualizacje usuwające cztery nieznane wcześniej luki „zero-day” w serwerze Exchange, które były wykorzystywane w ograniczonych atakach ukierunkowanych, jak podaje Microsoft. Błędy te oznaczone są jako CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 oraz CVE-2021-27065.
Ze względu na krytyczny charakter błędów, Microsoft zachęca klientów do jak najszybszego ich zainstalowania. Błędy dotyczyły Exchange Server 2013, Exchange Server 2016 i Exchange Server 2019.
„Zdecydowanie zachęcamy wszystkich klientów Exchange Server do natychmiastowego zastosowania tych aktualizacji” – poinformował Microsoft w komunikacie (Microsoft Threat Intelligence Center (MSTIC)).
Opisując ataki jako „ograniczone i ukierunkowane”, Microsoft Threat Intelligence Center (MSTIC) poinformował, że atakujący wykorzystali te luki, aby uzyskać dostęp do lokalnych serwerów Exchange, co z kolei umożliwiło dostęp do kont pocztowych i utorowało drogę do instalacji dodatkowego złośliwego oprogramowania, aby ułatwić długotrwały dostęp do środowisk ofiar.
Trójetapowy atak polega na uzyskaniu dostępu do serwera Exchange za pomocą skradzionych haseł lub wcześniej nieodkrytych luk, a następnie uruchomieniu powłoki sieciowej w celu zdalnego kontrolowania zagrożonego serwera. Ostatnie ogniwo łańcucha ataku wykorzystuje zdalny dostęp do skrzynek pocztowych w sieci organizacji i eksportuje zebrane dane do zewnętrznych serwisów wymiany plików (hostingowych, umozliwiających przechowywanie plików w chmurze).
Aby to osiągnąć, w łańcuchu ataku wykorzystywane są aż cztery luki zero-day odkryte przez badaczy z Volexity i Dubex –
- CVE-2021-26855: Błąd SSRF (server-side request forgery) w Exchange Server
- CVE-2021-26857: Luka w zabezpieczeniach deserializacji w usłudze Unified Messaging
- CVE-2021-26858: luka w usłudze Exchange polegająca na możliwości zapisu dowolnych plików po uwierzytelnieniu oraz
- CVE-2021-27065: luka w usłudze Exchange związana z arbitralnym zapisem plików po uwierzytelnieniu
Mimo, że podatności dotyczą Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 oraz Microsoft Exchange Server 2019, Microsoft poinformował, że aktualizuje Exchange Server 2010 w celu „Defense in Depth”. Exchange Online nie jest dotknięty tym problemem.
Microsoft, oprócz podkreślenia, że exploity nie są powiązane z atakami SolarWinds, poinformował odpowiednie agencje rządowe w USA o nowej fali ataków. Firma nie podała jednak, ile organizacji było celem ataku i czy ataki się powiodły.
Firma Volexity z siedzibą w Waszyngtonie w swojej analizie stwierdziła, że luka CVE-2021-26855 została wykorzystana do kradzieży pełnej zawartości kilku skrzynek pocztowych użytkowników. Błąd nie wymagał uwierzytelnienia i mógł zostać wykorzystany zdalnie. „Atakujący musi jedynie znać serwer, na którym działa Exchange oraz konto, z którego chce wydobyć pocztę” – zauważają analitycy Volexity.
Volexity ostrzega, że kampanie włamań rozpoczęły się około 6 stycznia 2021 roku i że wykryła aktywne wykorzystanie wielu luk w Microsoft Exchange, wykorzystywanych do kradzieży poczty elektronicznej i atakowania sieci.
„Chociaż wydaje się, że atakujący początkowo nie zwracali na siebie uwagi, po prostu kradnąc e-maile, ostatnio zaczęli wykorzystywać exploity, aby zdobyć przewagę” – wyjaśniają badacze Volexity Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair i Thomas Lancaster w swoim raporcie.
„Z perspektywy Volexity, ten exploit wydaje się być wykorzystywany przez wielu operatorów używających szerokiej gamy narzędzi i metod do wyrzucania danych uwierzytelniających, przemieszczania się na boki i dalszego backdooru systemów”.
Serwery pocztowe Exchange są atrakcyjnym celem ze względu na ilość przechowywanych w nich informacji o organizacji.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot