Спецпроекты

Microsoft экстренно латает «дыры» в Exchange, используемые «хакерами на госслужбе»

Безопасность Бизнес ИТ в госсекторе

Комбинация из четырех уязвимостей в Microsoft Exchange позволяла делать на сервере почти все, что угодно. Атаки со стороны APT-группировок начались еще в январе 2021 г.

С пометкой «срочно»

Корпорация Microsoft выпустила экстренные обновления для всех поддерживаемых версий Microsoft Exchange в связи с тем, что выявленные в них уязвимости интенсивно используются злоумышленниками.

Четыре бага нулевого дня в комбинации позволяют хакерам получить доступ к серверам Microsoft Exchange, красть электронную почту и подсаживать вредоносные программы для обеспечения себе постоянного присутствия в целевой сети.

Уязвимость CVE-2021-26855 — это уязвимость подмены серверного запроса (SSRF), которая позволяет направлять произвольные HTTP-запросы и авторизоваться в качестве сервера Exchange.

CVE-2021-26857 — уязвимость небезопасной десериализации (восстановление первоначального состояния структуры данных из битовой последовательности) в службе Unified Messaging, в результате которой приложение производит восстановление непроверенных пользовательских данных. Эксплуатация этой уязвимости обеспечивает злоумышленникам возможность запускать код с высшими привилегиями (SYSTEM) на сервере Exchange, но лишь в комбинации с другими уязвимостями или при предварительной компрометации административного аккаунта.

microsoft600.jpg
Microsoft исправила четыре бага в Exchange, облюбованные кибершпионами

Уязвимости CVE-2021-26858 и CVE-2021-27065 позволяют перезаписывать файлы в Exchange после авторизации — в любой целевой адрес на сервере. Для авторизации используется уязвимость CVE-2021-26855.

Китай — США

В Microsoft отметили, что хакерская группировка Hafnium, предположительно связанная с правительством Китая, активно эксплуатировала эти четыре уязвимости в течение продолжительного времени. В основном с целью вывода информации из различных организаций, в том числе, исследовательских объединений, изучающих заразные болезни, юридических фирм, академических учреждений, оборонных подрядчиков, а также научно-исследовательских центров и неправительственных организаций.

По данным Microsoft, Hafnium преимущественно использует арендованную инфраструктуру, физически располагающуюся на территории США. Получив доступ к серверу Microsoft Exchange, операторы группировки устанавливают веб-шелл, который позволяет им красть данные, загружать файлы и запускать почти любые команды в скомпрометированной системе.

Как правило, они производят сброс памяти LSASS.exe — службы локальной субсистемы авторизации LocalSecurityAuthoritySubsystemService. Этот процесс отвечает за проверку попыток авторизации на системе, и из него можно попытаться извлечь закэшированные реквизиты доступа.

Данные из почтовых ящиков и сервера Exchange затем выгружаются на файлообменники, такие как скандально известный MEGA, откуда операторы атаки позднее выкачивают их на свои рабочие системы.

Атаки начались не позднее 6 января 2021 г. На днях стало известно, что ввиду выпуска патчей различные кибергруппировки утроили усилия по эксплуатации вышеперечисленных уязвимостей в надежде скомпрометировать как можно больше систем до того, как на них будут установлены обновления.

Известно как минимум о нескольких кибершпионских группировках, предположительно связанных со спецслужбами разных государств, которые пытаются использовать эти уязвимости: APT27, BronzeButler (также известные как Tick) и Calypso. И в отличие от Hafnium, они нападают отнюдь не только на американские компании.

«Окно возможностей для атак составляет как минимум два месяца, а учитывая, что пройдет еще какое-то время, и дольше, — комментирует Алексей Водясов, технический директор компании SEC Consult Services. — Эксплуатируемые уязвимости нулевого дня — худший из возможных сценариев, но, к сожалению, не столь редкий. Проблема в данном случае осложняется еще и тем, что Exchange — очень популярная разработка. Учитывая, что эксплуатировать эти уязвимости не слишком сложно, степень угрозы возрастает многократно. В Microsoft настоятельно порекомендовали немедленно установить выпущенные патчи, и этот тот самый случай, когда этой рекомендации стоит следовать буквально».