Organizacje korzystające z lokalnych wersji programu Microsoft Exchange Server są narażone na ataki ukierunkowane trzy nowo ujawnione exploity typu zero-day, które są już wykorzystywane przez złośliwych aktorów związanych z państwem chińskim.
Trzy luki, przypisane CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065, umożliwiają cyberprzestępcom dostęp do kont e-mail ofiar i instalowanie złośliwego oprogramowania w celu uzyskania długoterminowego dostępu do ich szerszych środowisk. Według Threat Intelligence Center (MSTIC) firmy Microsoft kampania jest z dużym stopniem zaufania przypisywana grupie znanej jako Hafnium.
Grupa Hafnium Advanced Persistent Threat (APT) skierowana jest głównie do organizacji w USA, aw przeszłości uderzała w medyczne organizacje badawcze, kancelarie prawne, uniwersytety, wykonawców sektora obronnego, think tanki zajmujące się polityką i organizacje pozarządowe (NGO). Chociaż ma siedzibę w Chinach, działa z wykorzystaniem infrastruktury dzierżawionych wirtualnych serwerów prywatnych (VPS) zlokalizowanych w USA.
Wcześniej atakował ofiary poprzez luki w zabezpieczeniach serwerów połączonych z Internetem przy użyciu legalnych ram open source – takich jak Covenant – do dowodzenia i kontroli (C2). Po wejściu do sieci swojej ofiary Hafn zazwyczaj przenosi dane do witryn umożliwiających udostępnianie plików.
„Do tej pory Hafnium jest głównym aktorem, którego widzieliśmy podczas wykorzystywania tych exploitów” – powiedział wiceprezes firmy Microsoft ds. Bezpieczeństwa i zaufania klientów, Tom Burt, w poście na blogu.
„Ataki obejmowały trzy etapy. Po pierwsze, uzyskałby dostęp do serwera Exchange za pomocą skradzionych haseł lub wykorzystując nieodkryte wcześniej luki w celu ukrycia się jako ktoś, kto powinien mieć do niego dostęp. Po drugie, stworzyłoby to, co nazywa się powłoką internetową, aby zdalnie kontrolować zaatakowany serwer. Po trzecie, używałby tego zdalnego dostępu – prowadzonego z prywatnych serwerów w USA – do kradzieży danych z sieci organizacji.
„Skupiamy się na ochronie klientów przed exploitami używanymi do przeprowadzania tych ataków” – powiedział Burt. “Dziś my wydane aktualizacje zabezpieczeń który ochroni klientów korzystających z Exchange Server. Zdecydowanie zachęcamy wszystkich klientów Exchange Server do natychmiastowego zastosowania tych aktualizacji.
„Exchange Server jest używany głównie przez klientów biznesowych i nie mamy dowodów na to, że działania Hafnium były skierowane przeciwko indywidualnym konsumentom ani że te exploity wpływają na inne produkty firmy Microsoft”.
„Mimo że szybko pracowaliśmy nad wdrożeniem aktualizacji dla exploitów hafnu, wiemy, że wiele podmiotów z państw narodowych i grup przestępczych będzie działać szybko, aby wykorzystać wszelkie niezałatane systemy. Szybkie zastosowanie dzisiejszych łat to najlepsza ochrona przed tym atakiem – dodał.
FireEye Mandiant starszy wiceprezes i dyrektor ds. technologii Charles Carmakal powiedział: „Firma FireEye zaobserwowała, że luki te są wykorzystywane w środowisku naturalnym i aktywnie współpracujemy z kilkoma zagrożonymi organizacjami. Oprócz jak najszybszego instalowania łatek, zalecamy organizacjom również przejrzenie swoich systemów pod kątem dowodów wykorzystywania, które mogło mieć miejsce przed ich wdrożeniem ”.
Satnam Narang, inżynier ds. Badań sztabowych w Możliwy do utrzymania, powiedział, że fakt, że Microsoft zdecydował się przyspieszyć aktualizację poza pasmem, zamiast czekać na wydanie marcowej łatki, sugeruje, że luki w zabezpieczeniach są bardzo niebezpieczne.
„Na podstawie tego, co wiemy do tej pory, wykorzystanie jednej z czterech luk w zabezpieczeniach nie wymaga żadnego uwierzytelnienia i może zostać wykorzystane do potencjalnego pobrania wiadomości ze skrzynki pocztowej docelowego użytkownika. Inne luki mogą zostać połączone ze sobą przez zdeterminowanego aktora zagrożeń, aby ułatwić dalsze złamanie zabezpieczeń sieci docelowej organizacji ”- powiedział Narang.
„Spodziewamy się, że inne podmioty zagrażające zaczną wykorzystywać te luki w nadchodzących dniach i tygodniach, dlatego niezwykle ważne jest, aby organizacje korzystające z programu Exchange Server natychmiast zastosowały te poprawki”.
Wykorzystywanie luk w zabezpieczeniach
Zauważył również badania przeprowadzone przez Eset, co sugeruje, że szereg innych grup APT poza Hafnium wykorzystuje luki w zabezpieczeniach, aby atakować organizacje na skalę globalną.
Cztery CVE działają w następujący sposób: -26855 to luka w zabezpieczeniach związana z żądaniami po stronie serwera, która umożliwia atakującemu wysyłanie dowolnych żądań HTTP i uwierzytelnianie jako serwer Exchange; -26857 to niezabezpieczona luka umożliwiająca deserializację w usłudze Unified Messaging, która umożliwia atakującemu uruchomienie kodu jako SYSTEM na serwerze Exchange i wymaga uprawnień administratora lub innej luki do wykorzystania; i wreszcie, -26858 i -27065 to luki w zabezpieczeniach po uwierzytelnieniu, które pozwalają napastnikowi zapisać plik w dowolnej ścieżce na serwerze, na którym może go uwierzytelnić, na przykład wykorzystując -26855 lub skradzione dane uwierzytelniające.
Po uzyskaniu dostępu przez te luki, Hafnium wdraża powłoki internetowe na zaatakowanych serwerach w celu kradzieży danych i wykonywania dalszych złośliwych działań.
Microsoft zwrócił uwagę na pomoc zespołów ds. Bezpieczeństwa na Volexity i Dubex, którzy zgłosili różne elementy łańcuchów ataków i pomagał w szerszym dochodzeniu. „To właśnie ten poziom proaktywnej komunikacji i dzielenia się danymi wywiadowczymi pozwala społeczności zjednoczyć się, aby wyprzedzić ataki, zanim się rozprzestrzenią, i poprawić bezpieczeństwo dla wszystkich” – powiedział Microsoft.