Microsoft экстренно латает «дыры» в Exchange, используемые «хакерами на госслужбе»
С пометкой «срочно»
Корпорация Microsoft выпустила
экстренные обновления для всех поддерживаемых версий Microsoft Exchange в связи с тем, что выявленные в них уязвимости
интенсивно используются злоумышленниками.
Четыре бага нулевого дня
в комбинации позволяют хакерам получить доступ к серверам Microsoft Exchange, красть электронную почту и подсаживать
вредоносные программы для обеспечения себе постоянного присутствия в целевой
сети.
Уязвимость CVE-2021-26855 — это
уязвимость подмены серверного запроса (SSRF), которая позволяет направлять произвольные HTTP-запросы и авторизоваться
в качестве сервера Exchange.
CVE-2021-26857
— уязвимость небезопасной десериализации (восстановление первоначального
состояния структуры данных из битовой последовательности) в службе Unified Messaging, в результате
которой приложение производит восстановление непроверенных пользовательских
данных. Эксплуатация этой уязвимости обеспечивает злоумышленникам возможность
запускать код с высшими привилегиями (SYSTEM) на сервере Exchange, но лишь в комбинации с другими уязвимостями или
при предварительной компрометации административного аккаунта.
Microsoft исправила четыре бага в Exchange, облюбованные кибершпионами
Уязвимости CVE-2021-26858 и CVE-2021-27065 позволяют
перезаписывать файлы в Exchange после авторизации — в любой целевой адрес на
сервере. Для авторизации используется уязвимость CVE-2021-26855.
Китай — США
В Microsoft отметили, что хакерская группировка Hafnium, предположительно
связанная с правительством Китая, активно эксплуатировала эти четыре уязвимости
в течение продолжительного времени. В основном с целью вывода информации из
различных организаций, в том числе, исследовательских объединений, изучающих
заразные болезни, юридических фирм, академических учреждений, оборонных
подрядчиков, а также научно-исследовательских центров и неправительственных
организаций.
По данным Microsoft, Hafnium преимущественно
использует арендованную инфраструктуру, физически располагающуюся на территории
США. Получив доступ к серверу Microsoft Exchange, операторы группировки устанавливают веб-шелл,
который позволяет им красть данные, загружать файлы и запускать почти любые
команды в скомпрометированной системе.
CIO и СTO: как меняется влияние ИТ-руководителей в компаниях?
Новое в СХД
Как правило, они
производят сброс памяти LSASS.exe — службы локальной субсистемы авторизации LocalSecurityAuthoritySubsystemService. Этот процесс
отвечает за проверку попыток авторизации на системе, и из него можно попытаться
извлечь закэшированные реквизиты доступа.
Данные из почтовых ящиков
и сервера Exchange затем выгружаются на файлообменники, такие как скандально известный MEGA, откуда операторы атаки
позднее выкачивают их на свои рабочие системы.
Атаки начались не позднее
6 января 2021 г. На днях стало известно, что ввиду выпуска патчей различные
кибергруппировки утроили усилия по эксплуатации вышеперечисленных уязвимостей в
надежде скомпрометировать как можно больше систем до того, как на них будут
установлены обновления.
Известно как минимум о
нескольких кибершпионских группировках, предположительно связанных со спецслужбами
разных государств, которые пытаются использовать эти уязвимости: APT27, BronzeButler (также известные как Tick) и Calypso. И в отличие от Hafnium, они нападают отнюдь не только на американские
компании.
«Окно возможностей для
атак составляет как минимум два месяца, а учитывая, что пройдет еще какое-то
время, и дольше, — комментирует Алексей
Водясов, технический директор компании SEC Consult Services. —
Эксплуатируемые уязвимости нулевого дня — худший из возможных сценариев, но, к
сожалению, не столь редкий. Проблема в данном случае осложняется еще и тем, что
Exchange — очень популярная разработка. Учитывая, что эксплуатировать эти
уязвимости не слишком сложно, степень угрозы возрастает многократно. В
Microsoft настоятельно порекомендовали немедленно установить выпущенные патчи,
и этот тот самый случай, когда этой рекомендации стоит следовать буквально».