Cztery poprawki awaryjne dla Microsoft Exchange – wgraj je jak najprędzej, zbliża się apogeum ataków

Microsoft wydał właśnie cztery „extra” poprawki dla wszystkich wspieranych wersji MS Exchange. Skąd ten pośpiech? Stąd, że wykryto cztery poważne błędy klasy zero-day, które już są aktywnie wykorzystywane w cyberatakach. Oddzielnie są one „tylko” groźne, połączone razem pozwalają m.in. uzyskać dostęp do serwerów Microsoft Exchange, wykradać pocztę e-mail… Dają także atakującym możliwość wpuszczenia dodatkowego złośliwego oprogramowania, by zwiększyć dostęp do zainfekowanej sieci.

Aby atak zadziałał, atakujący muszą uzyskać dostęp do lokalnego serwera Microsoft Exchange na porcie 443. Jeśli jest to możliwe, cyberprzestępcy wykorzystują następujące luki w zabezpieczeniach:

CVE-2021-26855 to luka w zabezpieczeniach Exchange służąca do fałszowania żądań po stronie serwera (SSRF).
CVE-2021-26857 to luka w zabezpieczeniach deserializacji w usłudze Unified Messaging.
CVE-2021-26858 luka w zabezpieczeniach umożliwiająca zapis dowolnego pliku w Exchange (post-authentication).
CVE-2021-27065 to kolejna luka występująca pod stronie MS Exchange – również umożliwia zapis dowolnego pliku.

Po uzyskaniu dostępu do podatnego serwera Exchange, atakujący mogą zainstalować web shell, z której pomocą wykradają dane, przesyłają pliki i wykonują w zasadzie dowolne polecenia w zaatakowanym systemie. W dalszych krokach przestępcy są również w stanie wykonać zrzut pamięci pliku wykonywalnego LSASS.exe w celu zebrania danych uwierzytelniających z pamięci podręcznej za pomocą właśnie powłoki. I to właśnie w ten sposób są w stanie wyeksportować skrzynki pocztowe i skradzione dane z serwera Exchange i przesłać je do usług udostępniania plików, takich jak MEGA –  skąd później są w stanie je łatwo pobrać. Atakujący mogą również utworzyć remote shell – i bez większego problemu zarządzać całą wewnętrzną infrastrukturą.

Tyle teorii, teraz czas na fakty…

Wszystko wskazuje na to, że pierwsze ataki miały miejsce 6 stycznia br. Raport przedstawiony przez specjalistów z Volexity – którzy wykryli anomalną aktywność dwóch klientów Microsoft. Zaobserwowali oni wysyłanie dużej ilości danych na adresy IP, które ich zdaniem, nie były powiązane z rzeczywistymi użytkownikami. Bliższa analiza ujawniła przychodzące żądania POST do plików powiązanych z obrazami, JavaScript, CSS i czcionkami używanymi przez Outlook Web Access.

Chociaż Microsoft określił ataki mianem „Dla wielu organizacji serwer Exchange odgrywa kluczową rolę –  i właśnie dlatego jest cennym łupem.  Wygląda na to, że atakujący skanują teraz sieć w poszukiwaniu punktów końcowych, podatnych na atak. Prawie 200 organizacji i ponad 350 powłok internetowych zostało już zhakowanych.

W jaki sposób zweryfikować, czy padło się ofiarą tego ataku?

Warto zacząć od zweryfikowania logów serwera web – sprawdź, czy nie miała miejsca podejrzana aktywność, czy nie doszło do zaimplementowania web shell, o której pisaliśmy wcześniej. Zmiana uprawnień użytkownika lub użytkowników administracyjnych powinna również wzbudzić podejrzliwość  i skłaniać do bliższego przyjrzenia się infrastrukturze… zawsze.