Microsoft Exchange hack – co się dzieje?
Pierwszy kwartał 2021 roku to kolejny po ataku SolarWinds wstrząs w obszarze cyberbezpieczeństwa, dla organizacji na całym świecie. 4 podatności typu „zero-day” są obecnie eksploatowane – rozpoczęło się od chińskiej grupy Hafnium i rozszerzyło na Tick, Calypso, Winnti Group (Wspomniane grupy używały podatności zanim Microsoft wypuścił patch – 2 marca 2021.) Po tej dacie podatności używa już praktycznie każdy.
Na początku stycznia Microsoft powiadomił znanego eksperta ds. cyberbezpieczeństwa Briana Krebsa o czterech zgłoszonych podatnościach typu „zero-day” . 5 stycznia zostały one zgłoszeone przez niejakiego „Orange Tsai”, badacza z DEVCORE
„Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported.”
Orange Tsai via Twitter
A dlaczego to jest problem?
Krytyczne luki w zabezpieczeniach wpływają na lokalnie hostowane (on-prem) programy Exchange Server 2013, Exchange Server 2016 i Exchange Server 2019. Co jest ważne – podatności nie dotyczą chmurowego Exchange Online.
Oto lista obecnie zaraportowanych podatności:
- CVE-2021-26855: CVSS 9.1: luka w zabezpieczeniach dotycząca fałszowania żądań po stronie serwera (SSRF) prowadząca do wysyłania spreparowanych żądań HTTP przez nieuwierzytelnionych atakujących. Serwery muszą mieć możliwość akceptowania niezaufanych połączeń przez port 443, aby błąd został wyzwolony.
- CVE-2021-26857: CVSS 7.8: niezabezpieczona luka deserializacji w usłudze Exchange Unified Messaging Service, umożliwiająca wdrożenie dowolnego kodu w systemie. Jednak tę lukę należy połączyć z innymi lub skradzionymi danymi uwierzytelniającymi.
- CVE-2021-26858: CVSS 7.8: luka w zapisie dowolnego pliku po uwierzytelnieniu w celu zapisu w ścieżkach. Co istotne – tę lukę można powiązać z luką CVE-2021-26855 SSRF, aby zezwolić na nieuwierzytelniony atak.
- CVE-2021-27065: CVSS 7.8: luka w zapisie dowolnego pliku po uwierzytelnieniu w celu zapisu w ścieżkach. Co istotne – tę lukę można powiązać z luką CVE-2021-26855 SSRF, aby zezwolić na nieuwierzytelniony atak.
Jeśli zostaną użyte w skoordynowanej kampanii – wszystkie te luki mogą prowadzić do zdalnego wykonania kodu (RCE – Remote Code Execution), przejęcia serwera, uruchomienia backdoorów, kradzieży danych i potencjalnie dalszego rozprzestrzeniania złośliwego oprogramowania.
Co zrobić jeżeli używam lokalnego Exchange Server 2013, Exchange Server 2016 lub Exchange Server 2019?
- Sprawdź czy jesteś podatny za pomocą następujacych skryptów wydanych przez Microsoft
- Zainstaluj aktualizacje bezpieczeństwa wydane w marcu przez Microsoft
- Jeżeli to możliwe – zaktualizuj swoje narzędzia bezpieczeństwa IT o wskaźniki infekcji – IOC – Indicators of Compromise – związane z eksploatacją tych podatności
Firma Microsoft wezwała administratorów IT i klientów do natychmiastowego zastosowania poprawek bezpieczeństwa. Jednak tylko dlatego, że poprawki są teraz stosowane, nie oznacza to, że serwery nie zostały już poddane operacji wstecznej lub nie zostały w inny sposób naruszone.