Поделиться
Старинная «дыра» в Microsoft Exchange стала средством атак на правительства в половине мира
Неизвестные злоумышленники используют набор старых уязвимостей ProxyShell для распространения кейлоггеров по серверам Exchange. Перехваченные данные они хранят там же, на самих взломанных серверах.
30 жертв в 10 странах
Неизвестные пока злоумышленники используют уязвимости в Microsoft Exchange Server для распространения кейлоггеров в странах Африки и Ближнего Востока. Зацепило, впрочем, и Россию.
По данным фирмы Positive Technologies, у кампании к настоящему времени насчитывается не менее 30 жертв. В основном это правительственные организации, банки, ИТ-компании и образовательные учреждения. Атаки затронули ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Мавритания, Иордан, Ливан. Россию хакеры также не обошли стороной.
Самая ранняя из этой серии атак датируется 2021 г.
Злоумышленники используют главным образом комбинацию уязвимостей под общим названием ProxyShell: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207.
CVE-2021-34473 - это ошибка несоответствия пути, которая позволяет обходить защиту ACL и запускать произвольный код. CVE-2021-34523 - ошибка повышения привилегий, а CVE-2021-31207 - уязвимость, допускающая запись произвольного файла и, как следствие, запуск произвольного кода.
Все вместе эти уязвимости позволяют злоумышленникам производить запуск произвольного кода удалённо без какой-либо авторизации на сервере.
Microsoft выпустила исправления к этим «багам» в апреле-мае 2021 г.
Атака на беззаботность
Однако, как обычно, далеко не все установки MS Exchange Server получили эти обновления. Уже осенью 2021 г. была отмечена массивная волна атак на ProxyShell.
Нынешняя кампания сопровождается внедрением кейлоггеров на главную страницу сервера logon.aspx; плюс к этому осуществляется инъекция кода, который производит перехват введённых реквизитов и сохранение их в отдельном, доступном извне файле.
«Таким образом, речь идёт о серии атак на уязвимость, которой уже три года», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, злоумышленники оставляли всю интересующую их информацию в виде файла на самом же сервере потому, что полагали, что вряд ли кто-то вообще заинтересуется состоянием машины и установки Microsoft Exchange на ней в ближайшем будущем. «И можно сказать, что эти предположения не были беспричинными», - заключила Анастасия Мельникова.
В Positive Technologies пока затрудняются определить, кто может стоять за этими атаками, ссылаясь на недостаток информации.
Владельцам уязвимых серверов, помимо установки обновлений, настоятельно рекомендовано попытаться найти признаки компрометации - в частности, код кейлоггера в функции clkLgn().
«Если ваш сервер скомпрометирован, определите, какие данные аккаунта были украдены, и удалите файл, где хакеры хранят эти данные. Путь к этому файлу прописывается в logon.aspx», - говорится в исследовании.
Поделиться
Короткая ссылка
