Microsoft экстренно латает «дыры» в Exchange, используемые «хакерами на госслужбе»

0
45

С пометкой «срочно»

Корпорация Microsoft выпустила
экстренные обновления для всех поддерживаемых версий Microsoft Exchange в связи с тем, что выявленные в них уязвимости
интенсивно используются злоумышленниками.

Четыре бага нулевого дня
в комбинации позволяют хакерам получить доступ к серверам Microsoft Exchange, красть электронную почту и подсаживать
вредоносные программы для обеспечения себе постоянного присутствия в целевой
сети.

Уязвимость CVE-2021-26855 — это
уязвимость подмены серверного запроса (SSRF), которая позволяет направлять произвольные HTTP-запросы и авторизоваться
в качестве сервера Exchange.

CVE-2021-26857
— уязвимость небезопасной десериализации (восстановление первоначального
состояния структуры данных из битовой последовательности) в службе Unified Messaging, в результате
которой приложение производит восстановление непроверенных пользовательских
данных. Эксплуатация этой уязвимости обеспечивает злоумышленникам возможность
запускать код с высшими привилегиями (SYSTEM) на сервере Exchange, но лишь в комбинации с другими уязвимостями или
при предварительной компрометации административного аккаунта.

Microsoft экстренно латает «дыры» в Exchange, используемые «хакерами на госслужбе»

Microsoft исправила четыре бага в Exchange, облюбованные кибершпионами

Уязвимости CVE-2021-26858 и CVE-2021-27065 позволяют
перезаписывать файлы в Exchange после авторизации — в любой целевой адрес на
сервере. Для авторизации используется уязвимость CVE-2021-26855.

ЧИТАТЬ ТАКЖЕ:  Минцифры потратит 50 миллионов, чтобы переделать рейтинг цифровизации российских регионов

Китай — США

В Microsoft отметили, что хакерская группировка Hafnium, предположительно
связанная с правительством Китая, активно эксплуатировала эти четыре уязвимости
в течение продолжительного времени. В основном с целью вывода информации из
различных организаций, в том числе, исследовательских объединений, изучающих
заразные болезни, юридических фирм, академических учреждений, оборонных
подрядчиков, а также научно-исследовательских центров и неправительственных
организаций.

По данным Microsoft, Hafnium преимущественно
использует арендованную инфраструктуру, физически располагающуюся на территории
США. Получив доступ к серверу Microsoft Exchange, операторы группировки устанавливают веб-шелл,
который позволяет им красть данные, загружать файлы и запускать почти любые
команды в скомпрометированной системе.

CIO и СTO: как меняется влияние ИТ-руководителей в компаниях?
Новое в СХД

Microsoft экстренно латает «дыры» в Exchange, используемые «хакерами на госслужбе»

Как правило, они
производят сброс памяти LSASS.exe — службы локальной субсистемы авторизации LocalSecurityAuthoritySubsystemService. Этот процесс
отвечает за проверку попыток авторизации на системе, и из него можно попытаться
извлечь закэшированные реквизиты доступа.

Данные из почтовых ящиков
и сервера Exchange затем выгружаются на файлообменники, такие как скандально известный MEGA, откуда операторы атаки
позднее выкачивают их на свои рабочие системы.

ЧИТАТЬ ТАКЖЕ:  Финансовый гороскоп на 2017 год

Атаки начались не позднее
6 января 2021 г. На днях стало известно, что ввиду выпуска патчей различные
кибергруппировки утроили усилия по эксплуатации вышеперечисленных уязвимостей в
надежде скомпрометировать как можно больше систем до того, как на них будут
установлены обновления.

Известно как минимум о
нескольких кибершпионских группировках, предположительно связанных со спецслужбами
разных государств, которые пытаются использовать эти уязвимости: APT27, BronzeButler (также известные как Tick) и Calypso. И в отличие от Hafnium, они нападают отнюдь не только на американские
компании.

«Окно возможностей для
атак составляет как минимум два месяца, а учитывая, что пройдет еще какое-то
время, и дольше, — комментирует Алексей
Водясов
, технический директор компании SEC Consult Services. —
Эксплуатируемые уязвимости нулевого дня — худший из возможных сценариев, но, к
сожалению, не столь редкий. Проблема в данном случае осложняется еще и тем, что
Exchange — очень популярная разработка. Учитывая, что эксплуатировать эти
уязвимости не слишком сложно, степень угрозы возрастает многократно. В
Microsoft настоятельно порекомендовали немедленно установить выпущенные патчи,
и этот тот самый случай, когда этой рекомендации стоит следовать буквально».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь