Ameaças emergentes - Exploração em massa de vulnerabilidades do Exchange Server (2010-2019)

Em 2 de março de 2021, a Microsoft lançou uma atualização de emergência para abordar 4 vulnerabilidades críticas no Exchange Server 2010, 2013, 2016 e 2019.



Nossa equipe de Incidentes e Forenses está ativamente envolvida na investigação de incidentes resultantes dessas novas ameaças. Observamos que essas vulnerabilidades são usadas de forma mal-intencionada para obter acesso remoto aos servidores Exchange e, em seguida, descarregar dados confidenciais, incluindo caixas de correio inteiras.



Lembre-se de que os invasores provavelmente usam acesso remoto ao Exchange para mudar para sistemas ainda mais críticos, como controladores de domínio.



A Microsoft relatou um grupo chinês supostamente patrocinado pelo estado, HAFNIUM, explorando essas vulnerabilidades. De acordo com a Microsoft , o Exchange Online não é afetado pelas mesmas vulnerabilidades.

Descrição das vulnerabilidades

No total, quatro CVEs são explorados durante o ataque:

• CVE-2021-26855 é uma vulnerabilidade de falsificação de solicitação do lado do servidor Exchange (SSRF) que permite que invasores enviem solicitações HTTP arbitrárias e se autentiquem em nome de um servidor Exchange específico
• CVE-2021-26857 - usado para escalar privilégios - escalonamento de privilégios, a fim de obter os privilégios da conta do sistema no servidor: SYSTEM
• CVE-2021-26858 e CVE-2021-27065 são usados ​​para gravar arquivos em uma pasta arbitrária (qualquer) no servidor.

Equipes de invasores unem as explorações dessas vulnerabilidades para realizar ataques eficazes. Além disso, você pode visualizar a análise dessas operações do Veloxity .

Como o ataque ocorre

1. Os invasores encontram servidores Exchange vulneráveis ​​com a porta HTTP 443 aberta
2. Explora uma vulnerabilidade SSRF (a primeira das descritas acima) para obter o acesso e autenticação necessários em nome deste servidor Exchange
3. (SYSTEM), , , (, ProcDump)
4. Exchange / ,
5. , , «»
6. WebShell, .

• , Exchange, , . , Microsoft : Cumulative Update Security Update.
• Microsoft PowerShell , , ASPX(.aspx)
• (Kevin Beaumont) « » nmap
• - Varonis DatAlert :
  
  
  
  
  • , Exchange;
  • Web, , , DNS ( SWG [web-proxy] DNS Edge);
  • , «» Exchange;
  • , , ( , – Data Classification Engine).

PS Se você precisar de ALGUMA ajuda, entre em contato com a equipe russa Varonis ou contate o Departamento de Investigação de Incidentes diretamente através de uma página dedicada em nosso site e faremos o nosso melhor e pudermos para ter certeza de que você está seguro, mesmo que sua empresa não esteja um cliente da Varonis.