Microsoft экстренно латает «дыры» в Exchange, используемые «хакерами на госслужбе»
Комбинация из четырех уязвимостей в Microsoft Exchange позволяла
делать на сервере почти все, что угодно. Атаки со стороны APT-группировок начались еще в
январе 2021 г.
С пометкой «срочно»
Корпорация Microsoft выпустила экстренные обновления для всех поддерживаемых версий Microsoft Exchange в связи с тем, что выявленные в них уязвимости интенсивно используются злоумышленниками.
Четыре бага нулевого дня в комбинации позволяют хакерам получить доступ к серверам Microsoft Exchange, красть электронную почту и подсаживать вредоносные программы для обеспечения себе постоянного присутствия в целевой сети.
Уязвимость CVE-2021-26855 — это уязвимость подмены серверного запроса (SSRF), которая позволяет направлять произвольные HTTP-запросы и авторизоваться в качестве сервера Exchange.
CVE-2021-26857 — уязвимость небезопасной десериализации (восстановление первоначального состояния структуры данных из битовой последовательности) в службе Unified Messaging, в результате которой приложение производит восстановление непроверенных пользовательских данных. Эксплуатация этой уязвимости обеспечивает злоумышленникам возможность запускать код с высшими привилегиями (SYSTEM) на сервере Exchange, но лишь в комбинации с другими уязвимостями или при предварительной компрометации административного аккаунта.
Уязвимости CVE-2021-26858 и CVE-2021-27065 позволяют перезаписывать файлы в Exchange после авторизации — в любой целевой адрес на сервере. Для авторизации используется уязвимость CVE-2021-26855.
Китай — США
В Microsoft отметили, что хакерская группировка Hafnium, предположительно связанная с правительством Китая, активно эксплуатировала эти четыре уязвимости в течение продолжительного времени. В основном с целью вывода информации из различных организаций, в том числе, исследовательских объединений, изучающих заразные болезни, юридических фирм, академических учреждений, оборонных подрядчиков, а также научно-исследовательских центров и неправительственных организаций.
По данным Microsoft, Hafnium преимущественно использует арендованную инфраструктуру, физически располагающуюся на территории США. Получив доступ к серверу Microsoft Exchange, операторы группировки устанавливают веб-шелл, который позволяет им красть данные, загружать файлы и запускать почти любые команды в скомпрометированной системе.
Как правило, они производят сброс памяти LSASS.exe — службы локальной субсистемы авторизации LocalSecurityAuthoritySubsystemService. Этот процесс отвечает за проверку попыток авторизации на системе, и из него можно попытаться извлечь закэшированные реквизиты доступа.
Данные из почтовых ящиков и сервера Exchange затем выгружаются на файлообменники, такие как скандально известный MEGA, откуда операторы атаки позднее выкачивают их на свои рабочие системы.
Атаки начались не позднее 6 января 2021 г. На днях стало известно, что ввиду выпуска патчей различные кибергруппировки утроили усилия по эксплуатации вышеперечисленных уязвимостей в надежде скомпрометировать как можно больше систем до того, как на них будут установлены обновления.
Известно как минимум о нескольких кибершпионских группировках, предположительно связанных со спецслужбами разных государств, которые пытаются использовать эти уязвимости: APT27, BronzeButler (также известные как Tick) и Calypso. И в отличие от Hafnium, они нападают отнюдь не только на американские компании.
«Окно возможностей для атак составляет как минимум два месяца, а учитывая, что пройдет еще какое-то время, и дольше, — комментирует Алексей Водясов, технический директор компании SEC Consult Services. — Эксплуатируемые уязвимости нулевого дня — худший из возможных сценариев, но, к сожалению, не столь редкий. Проблема в данном случае осложняется еще и тем, что Exchange — очень популярная разработка. Учитывая, что эксплуатировать эти уязвимости не слишком сложно, степень угрозы возрастает многократно. В Microsoft настоятельно порекомендовали немедленно установить выпущенные патчи, и этот тот самый случай, когда этой рекомендации стоит следовать буквально».