Bezpieczeństwo IT - metody ochrony,Główna

Wykorzystywanie luk – Server Exchange

Czas czytania: 2 min

Luki i podatności – Server Exchange

Niestety, społeczność nadal boryka się ze skutkami ataku SolarWinds, a co gorsza pojawiają się kolejne naruszenia. Jakiś czas temu Microsoft Threat Intelligence Center (MSTIC) opublikował informacje o celowanych atakach w kierunku Servera Exchange. Okazuje się, że działający w Chinach HAFNIUM wykorzystuje luki 0-day w oprogramowaniu. Znamy 4 podatności, które zostały zidentyfikowane przez MSTIC. Skierowane są one na lokalne serwery, co ciekawe wersje Cloud nie są dotknięte tymi podatnościami.

Atak polega głównie na wykorzystaniu luki w zabezpieczeniach SSRF (tzn. server-side request forgery). Pozwala na przejęcie całej skrzynki pocztowej użytkownika. Cyberprzestępca musi jedynie znać serwer na którym działa oprogramowanie Exchange oraz konto z którego chce wykraść informacje (CVE-2021-26855). Następnie łączy Exploit z innym, takim który pozwala na zdalne wykonanie kodu na docelowym serwerze (CVE-2021-27065). Kolejna dziura, jest tak naprawdę częścią poprzedniej, umożliwia zapisanie pliku dla dowolnej ścieżki na serwerze (CVE-2021-26858). Ostatnia niedoskonałość pozwala atakującemu na uruchomienie kodu przez SYSTEM po wykorzystaniu luki deserializacji w Unified Messaging (CVE-2021-26857).

Oprócz podanych naruszeń, firma Microsoft udostępniła na swoim GitHubie skrypty PowerShell i inne narzędzia, które mają pomóc w identyfikacji IoC na Server Exchange. Natomiast Volexity opublikował szczegółowy opis IoC, proof-of-concept oraz przykładową demonstrację. Wszystko to ma pomóc w wykrywaniu zagrożenia. Podobny tekst można znaleźć na stronie Microsoftu. Firma udostępniła poprawki nie tylko dla głównych, czterech luk. Co najważniejsze, zwracają uwagę na bieżące aktualizacje i łatanie luk, sprawdź tutaj. Pomimo, iż HAFNIUM jest pierwszą znaną jednostką, która wykorzystała podatności. Microsoft w dalszym ciągu obserwuje znaczny wzrost ataków.

Jak reagować na zagrożenia?

Przede wszystkim należy zidentyfikować i aktualizować podatne na zagrożenia systemy.

  1. Wykorzystaj dostępne aktualizacje Microsoftu.
  2. W momencie gdy nie możemy od razu wdrożyć poprawek, skorzystajmy z alternatywnych, udostępnionych przez firmę rozwiązań.
  3. Użyj skryptu Microsoft PowerShell do mierzenia zagrożeń.
  4. Skorzystaj z usług WatchGuarda dla dodatkowego zabezpieczenia.

Zabezpieczenia WatchGuard

Podsumowując:

Panda AD360

Wykrywa potencjalne zagrożenia (payloads, webshells).

IPS

Zapobiega włamaniom. Firebox posiada sygnatury, które z powodzeniem wykrywają i blokują pierwszy etap ataku na Exploity.

Gateway Antivirus

Odpowiednio wykrywa, blokuje webshells, posiada wiele sygnatur.

APT Blocker

Wykrywa złośliwe backdoory.

Firebox Access Portal i VPN

Dzięki dostępowi do Fireboxa możesz ochronić serwer jeszcze przed pierwszym etapem ataku.

 

Źródło: https://www.secplicity.org/2021/03/08/chinese-state-actors-exploit-0-day-vulnerabilities-targeting-on-premise-exchange-servers/

 





Dodaj komentarz