Varonis предложила помощь в устранении последствий уязвимостей серверов Exchange
Varonis начала работу по расследованию инцидентов, возникших из-за четырех критических уязвимостей в Exchange Server 2010, 2013, 2016, и 2019. Ранее Microsoft выпустила срочное обновление, чтобы их закрыть. Microsoft сообщила о китайской, предположительно спонсируемой государством, группировке HAFNIUM, использующей эти уязвимости. По информации Microsoft, Exchange Online не подвержен этим же уязвимостям.
Команда Varonis выявила злонамеренное использование этих уязвимостей для получения удаленного доступа к серверам Exchange и выгрузки критичных данных, включая почтовые ящики целиком.
Во время атаки эксплуатируются четыре CVE.
Первый CVE — уязвимость Exchange, которая позволяет подделывать запросы на стороне сервера – server-side request forgery (SSRF), отправлять произвольные запросы HTTP и аутентифицироваться от имени конкретного сервера Exchange.
Второй CVE — 2021-26857, который используется для повышения привилегий – privilege escalation, чтобы получить на сервере привилегии системной учетной записи: SYSTEM.
Третий и четвертый CVE — 2021-26858, CVE-2021-27065 используются для записи файлов в любую папку на сервере. Скорее всего, атакующие используют удаленный доступ к Exchange чтобы переключиться на еще более критичные системы, например, контроллеры домена.
«Если вам потребуется любая помощь, свяжитесь с командой в России, и мы сделаем все возможное и зависящее от нас, чтобы убедиться, что ваша компания в безопасности, даже если она не является нашим заказчиком», — сказал Александр Коновалов, технический директор Varonis в России.
Также Varonis подготовила подробную памятку о том, как защититься и обнаружить признаки компрометации.