Новости

Массовые атаки на Microsoft Exchange

КРИТИЧЕСКИЕ УЯЗВИМОСТИ В MICROSOFT EXCHANGE СТАЛИ ПРИЧИНОЙ МАССОВЫХ ВЗЛОМОВ


Неизвестные злоумышленники (предположительно группа хакеров HAFNIUM) используя уязвимости "нулевого дня" атаковали тысячи серверов Microsoft Exchange начиная с 6 января этого года.

СМИ сообщают о 60 тысячах взломанных организациях по всему миру, в том числе в России.

КАКОЕ ПО ПОДВЕРЖЕНО УЯЗВИМОСТИ?


По данным Microsoft уязвимости подвержены следующие версии почтового сервера:
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019
Есть вероятность, что уязвимым является также Microsoft Exchange Server 2010 (обновления безопасности для него отсутствуют в связи с прекращением поддержки), а также и более старые версии.

ВЕКТОР АТАКИ И ЕЕ ПОСЛЕДСТВИЯ


Для атаки злоумышленникам не нужна учетная запись в системе и какие-либо права доступа, а также нет необходимости (в случае эксплуатации уязвимости CVE-2021-26855) во взаимодействии с пользователем.

Достаточно открытого для веб-доступа 443 TCP порта на сервере Exchange.
В случае успешной (целевой или не целевой) атаки злоумышленников, они получают полный контроль над данными и учетными записями почтового сервера и могут скопировать письма, зашифровать их или использовать в иных векторах атаки связанных с методами социальной инженерии (как на сотрудников взломанной компании, так и на их партнеров).

В прошлых атаках HAFNIUM, как правило копировал полученные в результате взлома данных на файлообменники.

УЯЗВИМОСТИ И ОБНОВЛЕНИЯ БЕЗОПАСНОСТИ


Как можно скорее установите следующие патчи безопасности выпущенные компанией Microsoft:
  • CVE-2021-26412 Microsoft Exchange Server Remote Code Execution Vulnerability - пока нет данных о векторе использования данной уязвимости злоумышленниками
  • CVE-2021-27078 Microsoft Exchange Server Remote Code Execution Vulnerability - пока нет данных о векторе использования данной уязвимости злоумышленниками
  • CVE-2021-26854 Microsoft Exchange Server Remote Code Execution Vulnerability - пока нет данных о векторе использования данной уязвимости злоумышленниками
  • CVE-2021-26855 Microsoft Exchange Server Remote Code Execution Vulnerability - уязвимость подделки запросов на стороне сервера (SSRF) в Exchange, которая позволяет злоумышленнику отправлять произвольные HTTP-запросы и проходить аутентификацию.
  • CVE-2021-27065 Microsoft Exchange Server Remote Code Execution Vulnerability - уязвимость для записи произвольных файлов после аутентификации в Exchange. Если хакер сможет пройти аутентификацию на сервере Exchange, он сможет использовать эту уязвимость для записи файла по любому пути на сервере. Злоумышленники могут пройти авторизацию, используя уязвимость SSRF CVE-2021-26855 или скомпрометировав учетные данные законного администратора.
  • CVE-2021-26857 Microsoft Exchange Server Remote Code Execution Vulnerability -уязвимость небезопасной десериализации в службе единой системы обмена сообщениями. Использование этой уязвимости дает злоумышленникам возможность запускать код под пользователем SYSTEM на сервере Exchange. Для этого требуется разрешение администратора или другая уязвимость.
  • CVE-2021-26858 Microsoft Exchange Server Remote Code Execution Vulnerability - уязвимость для записи произвольных файлов после аутентификации в Exchange. Если хакер сможет пройти аутентификацию на сервере Exchange, он сможет использовать эту уязвимость для записи файла по любому пути на сервере. Злоумышленники могут пройти авторизацию, используя уязвимость SSRF CVE-2021-26855 или скомпрометировав учетные данные законного администратора.

КАК ПРОВЕРИТЬ, ЗАРАЖЕН ЛИ СЕРВЕР?


Команда разработчиков Exchange создала скрипт для сканирования журналов сервера на предмет его компрометации.
Исходные коды скриптов доступны на github.

ЭКСПЛУАТАЦИЮ CVE-2021-26855 МОЖНО ОБНАРУЖИТЬ С ПОМОЩЬЮ ЖУРНАЛОВ ЛОГОВ EXCHANGE HTTPPROXY


Журналы находятся в каталоге: %PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \ HttpProxy

Эксплуатацию можно определить путем поиска записей журнала, в которых AuthenticatedUser пуст, а AnchorMailbox содержит шаблон ServerInfo ~ * / *.
Пример команды PowerShell для поиска этих записей журнала:
Import-Csv -Path (Get-ChildItem -Recurse -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy" -Filter '*.log').FullName | Where-Object { $_.AuthenticatedUser -eq '' -and $_.AnchorMailbox -like 'ServerInfo~*/*' } | select DateTime, AnchorMailbox

При обнаружении активности можно использовать журналы, относящиеся к приложению, указанному в пути AnchorMailbox, чтобы определить, какие действия были предприняты злоумышленниками.

Журналы находятся в каталоге % PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging.

ЭКСПЛУАТАЦИЯ CVE-2021-26858 МОЖЕТ БЫТЬ ОБНАРУЖЕНА ЧЕРЕЗ ФАЙЛЫ ЖУРНАЛА EXCHANGE


Место хранение логов: C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
При нормальной работе сервера логи находятся только в каталоге: % PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ ClientAccess \ OAB \ Temp.
В случае эксплуатации файлы загружаются в другие каталоги (UNC или локальные пути).
Через поиск Windows найдите такие директории:
findstr /snip /c:"Download failed and temporary file" "%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log"

ЭКСПЛУАТАЦИЯ CVE-2021-26857 МОЖЕТ БЫТЬ ОБНАРУЖЕНА ЧЕРЕЗ ЖУРНАЛЫ СОБЫТИЙ ПРИЛОЖЕНИЙ WINDOWS


Использование этой ошибки десериализации приведет к созданию событий приложения со следующими свойствами:
Источник: Единая система обмена сообщениями MSExchange
EntryType: Ошибка
Сообщение о событии содержит: System.InvalidCastException
Команда PowerShell для запроса этих записей в журнале событий приложений:
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }

ЭКСПЛУАТАЦИЮ CVE-2021-27065 МОЖНО ОБНАРУЖИТЬ С ПОМОЩЬЮ СЛЕДУЮЩИХ ФАЙЛОВ ЖУРНАЛА EXCHANGE


Место хранения логов: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server

Свойства Set- <AppName> директории никогда не должны содержать скрипты и исполняемые команды. InternalUrl и ExternalUrl должны быть только действительными и понятными вам URL.
Команда PowerShell для поиска потенциальной эксплуатации:
Select-String -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log" -Pattern 'Set-.+VirtualDirectory'

ЧТО ЕЩЕ МОЖНО СДЕЛАТЬ ДЛЯ ЗАЩИТЫ СЕРВЕРА ОТ АТАКИ?


  1. Как можно скорее установите упомянутые выше обновления безопасности Exchange сервера.
  2. При возможности отключите доступ к Exchange через веб-браузер из вне.
  3. Используйте VPN для удаленного доступа сотрудников к почте.
  4. В Ideco UTM вы можете использовать безопасные протоколы IKEv2/IPSec, SSTP или L2TP/IPSec, позволяющие подключить к VPN любую ОС без использования стороннего ПО.
  5. Используйте безопасную публикацию Exchange-сервера, без его прямого подключения к сети интернет (или прямого проброса портов для доступа со своего внешнего межсетевого экрана).
  6. Почтовый релей для 25-го порта SMTP (в Ideco UTM он будет защищен специальными правилами и настройками встроенного почтового релея, предотвращающие любые специфические атаки на Exchange).
  7. Обратный прокси-сервер для публикации веб-доступа (OWA) к почтовому серверу. Особо отметим, что начиная с версии Ideco UTM 8 и в текущей 9-ой версии такая публикация более безопасна, чем используемый в версии Ideco UTM 7.9 способ публикации.
  8. Используйте систему предотвращения вторжений (IPS). которая может предотвратить атаки подобного рода на уровне интернет-шлюза.
  9. В Ideco UTM необходимо проверить, включена ли система предотвращения вторжений и при необходимости активировать ее.


ЗАЩИТИТЬ СЕРВЕР С ПОМОЩЬЮ IDECO UTM 9.7

Статьи