Actualizări de securitate pentru vulnerabilități de tip zero-day ale Microsoft Exchange
Microsoft a identificat multiple vulnerabilități de tip zero-day care au fost folosite pentru a ataca versiunile on-premise ale Microsoft Exchange Server. Atacatorii au exploatat aceste vulnerabilități pentru a accesa servere Exchange care au permis accesul la conturi de e-mail urmând apoi instalarea unor programe malware. Microsoft Threat Intelligence Center (MSTIC) atribuie această campanie unui grup de hackeri sponsorizați de China numit HAFNIUM.
Vulnerabilitățile care au fost exploatate recent sunt CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 și CVE-2021-27065, toate acestea fiind prezente în versiunea actuală Microsoft Security Response Center (MSRC) – au fost lansate mai multe actualizări de securitate pentru Exchange Server. Microsoft îndeamnă clienții să actualizeze imediat sistemele.
Cine sunt HAFNIUM?
HAFNIUM vizează în principal entitățile din Statele Unite din mai multe sectoare inclusiv cercetători de boli infecțioase, firme de avocatură, instituții de învățământ superior, grupări politice și ONG-uri.
HAFNIUM a mai compromis anterior sisteme prin exploatarea vulnerabilităților din serverele cu expunere în internet și a folosit framework-uri open-source legitime precum Covenant pentru comandă și control. Odată ce au dobândit accesul la o rețea, HAFNIUM exfiltrează de obicei datele pe site-uri de partajare a fișierelor, cum ar fi MEGA.
Deși nu reușesc de fiecare dată să compromită conturile clienților, această activitate de recunoaștere îi ajută să identifice mai multe detalii despre mediile de lucru ale țintelor lor.
HAFNIUM operează în principal din servere virtuale private (VPS) închiriate din Statele Unite.
Detalii tehnice
Microsoft furnizează următoarele detalii pentru a-i ajuta pe clienți să înțeleagă tehnicile utilizate de HAFNIUM pentru a exploata aceste vulnerabilități și pentru a permite o apărare mai eficientă împotriva oricăror atacuri viitoare asupra sistemelor neactualizate.
CVE-2021-26855 este o vulnerabilitate de tip Server-side request forgery (SSRF) în Exchange, care a permis atacatorului să trimită cereri HTTP arbitrare și să se autentifice pe server.
CVE-2021-26857 este o vulnerabilitate de tip insecure deserialization. Exploatarea acestei vulnerabilități a oferit HAFNIUM capacitatea de a rula codul ca SYSTEM pe serverul Exchange.
CVE-2021-26858 și CVE-2021-27065 sunt vulnerabilități de scriere a fișierelor arbitrar după autentificare în Exchange. Dacă HAFNIUM s-ar putea autentifica la serverul Exchange, atunci ar putea folosi această vulnerabilitate pentru a scrie un fișier oriunde pe server. Autentificarea ar fi posibilă prin exploatarea vulnerabilității SSRF CVE-2021-26855 sau prin obținerea credențialelor unui administrator legitim.
Câteva detalii despre atac
După ce au exploatat aceste vulnerabilități pentru a obține accesul, operatorii HAFNIUM au implementat web shell pe serverul compromis. Web shell-urile permit atacatorilor să fure date. Un exemplu de web shell implementat de HAFNIUM, scris în ASP:
După implementarea web shell-ului, operatorii HAFNIUM au mai efectuat următoarle acțiuni:
Au folosit Procdump pentru a descărca memoria procesului LSASS:
Au folosit 7-Zip pentru a arhiva datele furate în fișiere ZIP pentru exfiltrare:
Au adăugat și au folosit snap-in-uri Exchange PowerShell pentru a exporta datele din mailbox:
Au folosit Nishang Invoke-PowerShellTcpOneLine reverse shell:
Au decsărcat PowerCat de pe GitHub, apoi au deschis o conexiune pe un server la distanță:
Operatorii HAFNIUM au putut, de asemenea, să descarce offline agenda de contacte Exchange din sisteme compromise.
Versiunile afectate și recomandări
Versiunile afectate sunt
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2010
Microsoft a lansat mai multe actualizări de securitate pentru Microsoft Exchange Server pentru a remedia vulnerabilitățile menționate. Datorită naturii critice a acestor vulnerabilități, se recomandă aplicarea actualizărilor pentru sistemele afectate pentru a protecția împotriva acestor exploit-uri și pentru a preveni alte viitoare abuzuri.
Sursa: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
