Microsoft сообщает о группировке, которая была замечена в массовых целевых атаках с использованием 0-day уязвимостей на почтовые серверы Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля.
На первом этапе злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации ранее неопубликованных уязвимостей (0-day). Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки.
В связи с этим компания Microsoft выпустила срочные обновления безопасности для уязвимостей, которые используются в ходе атак:
- CVE-2021-26855 – SSRF-уязвимость в Exchange, позволяющая злоумышленникам посылать специальные HTTP-запросы для аутентификации на сервере
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 - CVE-2021-26857 – Insecure Deserialization уязвимость в Exchange, позволяющая выполнять на сервере Exchange код от SYSTEM
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857 - CVE-2021-26858 – Arbitrary File Write уязвимость в Exchange, позволяющая после получения доступа к серверу Exchange записать файл в любом произвольном каталоге
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858 - CVE-2021-27065 — Arbitrary File Write уязвимость в Exchange, позволяющая после получения доступа к серверу Exchange записать файл в любом произвольном каталоге
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065 - CVE-2021-26412 – RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412 - CVE-2021-27078 — RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078 - CVE-2021-26854 — RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
Уязвимые версии Microsoft Exchange Server:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Рекомендации
Оперативно установить обновления безопасности, так как есть свидетельства активной эксплуатации этих уязвимостей и высока вероятность, что в дальнейшем данные техники будут активно использоваться и другими группировками.
Обновления можно установить через Windows Update или в виде отдельного обновления KB5000871:
· Exchange Server 2013
www.microsoft.com/download/details.aspx?familyid=1255ecd7-b187-4839-96c9-1fc5e05df7b6
· Exchange Server 2016
www.microsoft.com/download/details.aspx?familyid=192fa60f-664a-4f3e-b19f-e295135e469b
www.microsoft.com/download/details.aspx?familyid=31211a48-0cef-462e-bb11-c36440f80bb3
· Exchange Server 2019
www.microsoft.com/download/details.aspx?familyid=2aadda14-b8aa-4370-a492-0a6818facce8
www.microsoft.com/download/details.aspx?familyid=18c75641-e53d-4979-8d5e-29a80674e41
Также рекомендую вашей команде по безопасности оценить, использовались ли уязвимости или нет, с помощью индикаторов взлома, которые опубликованы здесь —
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Вы можете использовать скрипт проверки работоспособности Exchange Server, который можно загрузить с GitHub (используйте последнюю версию). Запуск этого скрипта поможет определить актуальность обновлений локального сервера Exchange Server (обратите внимание, что сценарий не поддерживает Exchange Server 2010).
Больше информации про киберзащиту можно найти тут.
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.