Wykorzystywanie luk - Server Exchange

Luki i podatności - Server Exchange

Niestety, społeczność nadal boryka się ze skutkami ataku SolarWinds, a co gorsza pojawiają się kolejne naruszenia. Jakiś czas temu Microsoft Threat Intelligence Center (MSTIC) opublikował informacje o celowanych atakach w kierunku Servera Exchange. Okazuje się, że działający w Chinach HAFNIUM wykorzystuje luki 0-day w oprogramowaniu. Znamy 4 podatności, które zostały zidentyfikowane przez MSTIC. Skierowane są one na lokalne serwery, co ciekawe wersje Cloud nie są dotknięte tymi podatnościami. Atak polega głównie na wykorzystaniu luki w zabezpieczeniach SSRF (tzn. server-side request forgery). Pozwala na przejęcie całej skrzynki pocztowej użytkownika. Cyberprzestępca musi jedynie znać serwer na którym działa oprogramowanie Exchange oraz konto z którego chce wykraść informacje (CVE-2021-26855). Następnie łączy Exploit z innym, takim który pozwala na zdalne wykonanie kodu na docelowym serwerze (CVE-2021-27065). Kolejna dziura, jest tak naprawdę częścią poprzedniej, umożliwia zapisanie pliku dla dowolnej ścieżki na serwerze (CVE-2021-26858). Ostatnia niedoskonałość pozwala atakującemu na uruchomienie kodu przez SYSTEM po wykorzystaniu luki deserializacji w Unified Messaging (CVE-2021-26857). Oprócz podanych naruszeń, firma Microsoft udostępniła na swoim GitHubie skrypty PowerShell i inne narzędzia, które mają pomóc w identyfikacji IoC na Server Exchange. Natomiast Volexity opublikował szczegółowy opis IoC, proof-of-concept oraz przykładową demonstrację. Wszystko to ma pomóc w wykrywaniu zagrożenia. Podobny tekst można znaleźć na stronie Microsoftu. Firma udostępniła poprawki nie tylko dla głównych, czterech luk. Co najważniejsze, zwracają uwagę na bieżące aktualizacje i łatanie luk, sprawdź tutaj. Pomimo, iż HAFNIUM jest pierwszą znaną jednostką, która wykorzystała podatności. Microsoft w dalszym ciągu obserwuje znaczny wzrost ataków.

Jak reagować na zagrożenia?

Przede wszystkim należy zidentyfikować i aktualizować podatne na zagrożenia systemy.

1. Wykorzystaj dostępne aktualizacje Microsoftu.
2. W momencie gdy nie możemy od razu wdrożyć poprawek, skorzystajmy z alternatywnych, udostępnionych przez firmę rozwiązań.
3. Użyj skryptu Microsoft PowerShell do mierzenia zagrożeń.
4. Skorzystaj z usług WatchGuarda dla dodatkowego zabezpieczenia.

Zabezpieczenia WatchGuard

Podsumowując: Panda AD360 Wykrywa potencjalne zagrożenia (payloads, webshells). IPS Zapobiega włamaniom. Firebox posiada sygnatury, które z powodzeniem wykrywają i blokują pierwszy etap ataku na Exploity. Gateway Antivirus Odpowiednio wykrywa, blokuje webshells, posiada wiele sygnatur. APT Blocker Wykrywa złośliwe backdoory. Firebox Access Portal i VPN Dzięki dostępowi do Fireboxa możesz ochronić serwer jeszcze przed pierwszym etapem ataku. Źródło: https://www.secplicity.org/2021/03/08/chinese-state-actors-exploit-0-day-vulnerabilities-targeting-on-premise-exchange-servers/