Компания Microsoft обнаружила хакерскую группу, известную как Hafnium, которая осуществляла атаки с помощью уязвимостей нулевого дня в серверах Microsoft Exchange.
Для осуществления атаки, злоумышленникам требовался доступ к к локальному серверу Microsoft Exchange посредствам 443 порта. В случае получения доступа, злоумышленники использовали следующие уязвимости для получения удаленного доступа:
- CVE-2021-26855 – уязвимость подделки запросов на стороне сервера (SSRF) в Exchange, которая позволяет злоумышленнику отправлять произвольные HTTP-запросы и проходить аутентификацию в качестве сервера Exchange.
- CVE-2021-26857 – уязвимость небезопасной десериализации в службе единой системы обмена сообщениями. Небезопасная десериализация - это когда ненадежные контролируемые пользователем данные десериализуются программой. Использование этой уязвимости дало хакерской группу HAFNIUM возможность запускать код как SYSTEM на сервере Exchange. Для этого требуется разрешение администратора или другая уязвимость.
- CVE-2021-26858 – уязвимость для записи произвольных файлов после аутентификации в Exchange. Если хакерская группа HAFNIUM сможет пройти аутентификацию на сервере Exchange, они смогут использовать эту уязвимость для записи файла по любому пути на сервере. Они могли пройти аутентификацию, используя уязвимость SSRF CVE-2021-26855 или скомпрометировав учетные данные администратора.
- CVE-2021-27065 – уязвимость для записи произвольных файлов после аутентификации в Exchange. Если группировка HAFNIUM сможет пройти аутентификацию на сервере Exchange, они смогут использовать эту уязвимость для записи файла по любому пути на сервере. Они могли пройти аутентификацию, используя уязвимость SSRF CVE-2021-26855 или скомпрометировав учетные данные законного администратора.
«Исторически сложилось так, что хакерская группировка Hafnium в первую очередь нацелена на организации в Соединенных Штатах с целью кражи информации из ряда секторов промышленности, включая исследовательских центров инфекционных заболеваний, юридических фирм, высших учебных заведений, оборонных подрядчиков, аналитических центров и неправительственных организации».
«Хотя группировка Hafnium находится в Китае, они осуществляют свою деятельность в основном с арендованных виртуальных частных серверов (VPS) в Соединенных Штатах», – сообщила компания Microsoft в своем блоге.
Каким образом осуществлялся взлом серверов и последующая кража данных
Получив доступ к уязвимому серверу Microsoft Exchange, Hafnium устанавливает веб-оболочку, которая позволяет им красть данные, загружать файлы и выполнять практически любую команду в скомпрометированной системе.
Группировка Hafnium выполняет дамп памяти исполняемого файла LSASS.exe для сбора кэшированных учетных данных с помощью этой веб-оболочки.
Затем они экспортируют почтовые ящики и украденные данные с сервера Exchange и загружают их в службы обмена файлами, такие как MEGA, откуда впоследствии могут их скачать.
Наконец, Hafnium создаст удаленную оболочку на своих серверах для доступа к машине и ее внутренней сети.
Из-за серьезности атак Microsoft рекомендует администраторам «немедленно установить обновления безопасности», что в свою очередь защитить серверы Exchange от этих атак.
Администраторы могут найти дополнительную информацию о поддерживаемых обновлениях и о том, как установить исправления, в статье группы Microsoft Exchange.
Представители американских властей сообщили, что меры по оценки и устранения последствий принимаются на всех уровнях правительства США.
Microsoft выпустила инструмент для проверки серверов Exchange на наличие узявимостей
Microsoft выпустила скрипт PowerShell, который администраторы могут использовать для проверки на наличие уязвимостей в Microsoft Exchange, получивших название ProxyLogon.
Команды необходимо выполнять вручную для проверки индикаторов компрометации (IOC) в журналах Exchange HttpProxy, файлах журналов Exchange и журналах событий приложений Windows.
Скрипт PowerShell доступен в репозитории GitHub инженера службы поддержки Microsoft Exchange, под названием Test-ProxyLogon.ps1.
Скрипт Microsoft Test-ProxyLogon.ps1
Для проверки всех серверов Exchange в организации и сохранения журналов на рабочем столе, необходимо ввести следующую команду из командной консоли Exchange:
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Для проверки локального сервера и сохранения журнала необходимо ввести следующую команду:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Наконец, чтобы протестировать только локальный сервер и отобразить результаты без их сохранения, вы можете выполнить следующую команду:
.\Test-ProxyLogon.ps1
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) настоятельно рекомендует всем организациям воспользоваться этим скриптом для проверки наличия уязвимости в используемых серверах.
Угрозы безопасности
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО