Luki i podatności – Server Exchange
Niestety, społeczność nadal boryka się ze skutkami ataku SolarWinds, a co gorsza pojawiają się kolejne naruszenia. Jakiś czas temu Microsoft Threat Intelligence Center (MSTIC) opublikował informacje o celowanych atakach w kierunku Servera Exchange. Okazuje się, że działający w Chinach HAFNIUM wykorzystuje luki 0-day w oprogramowaniu. Znamy 4 podatności, które zostały zidentyfikowane przez MSTIC. Skierowane są one na lokalne serwery, co ciekawe wersje Cloud nie są dotknięte tymi podatnościami.
Atak polega głównie na wykorzystaniu luki w zabezpieczeniach SSRF (tzn. server-side request forgery). Pozwala na przejęcie całej skrzynki pocztowej użytkownika. Cyberprzestępca musi jedynie znać serwer na którym działa oprogramowanie Exchange oraz konto z którego chce wykraść informacje (CVE-2021-26855). Następnie łączy Exploit z innym, takim który pozwala na zdalne wykonanie kodu na docelowym serwerze (CVE-2021-27065). Kolejna dziura, jest tak naprawdę częścią poprzedniej, umożliwia zapisanie pliku dla dowolnej ścieżki na serwerze (CVE-2021-26858). Ostatnia niedoskonałość pozwala atakującemu na uruchomienie kodu przez SYSTEM po wykorzystaniu luki deserializacji w Unified Messaging (CVE-2021-26857).
Oprócz podanych naruszeń, firma Microsoft udostępniła na swoim GitHubie skrypty PowerShell i inne narzędzia, które mają pomóc w identyfikacji IoC na Server Exchange. Natomiast Volexity opublikował szczegółowy opis IoC, proof-of-concept oraz przykładową demonstrację. Wszystko to ma pomóc w wykrywaniu zagrożenia. Podobny tekst można znaleźć na stronie Microsoftu. Firma udostępniła poprawki nie tylko dla głównych, czterech luk. Co najważniejsze, zwracają uwagę na bieżące aktualizacje i łatanie luk, sprawdź tutaj. Pomimo, iż HAFNIUM jest pierwszą znaną jednostką, która wykorzystała podatności. Microsoft w dalszym ciągu obserwuje znaczny wzrost ataków.
Jak reagować na zagrożenia?
Przede wszystkim należy zidentyfikować i aktualizować podatne na zagrożenia systemy.
- Wykorzystaj dostępne aktualizacje Microsoftu.
- W momencie gdy nie możemy od razu wdrożyć poprawek, skorzystajmy z alternatywnych, udostępnionych przez firmę rozwiązań.
- Użyj skryptu Microsoft PowerShell do mierzenia zagrożeń.
- Skorzystaj z usług WatchGuarda dla dodatkowego zabezpieczenia.
Zabezpieczenia WatchGuard
Podsumowując:
Panda AD360
Wykrywa potencjalne zagrożenia (payloads, webshells).
IPS
Zapobiega włamaniom. Firebox posiada sygnatury, które z powodzeniem wykrywają i blokują pierwszy etap ataku na Exploity.
Gateway Antivirus
Odpowiednio wykrywa, blokuje webshells, posiada wiele sygnatur.
APT Blocker
Wykrywa złośliwe backdoory.
Firebox Access Portal i VPN
Dzięki dostępowi do Fireboxa możesz ochronić serwer jeszcze przed pierwszym etapem ataku.
Źródło: https://www.secplicity.org/2021/03/08/chinese-state-actors-exploit-0-day-vulnerabilities-targeting-on-premise-exchange-servers/
