27.10.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Zero-day уязвимости в Microsoft Exchange Server

Что произошло

Несколько дней назад, 2 марта, вышли несколько публикаций, рассказывающих о новых уже эксплуатируемых in-the-wild уязвимостях в MS Exchange. Данные уязвимости позволяют злоумышленнику так скомпрометировать уязвимый Microsoft Exchange сервер, что он сможет получить доступ к любым зарегистрированным почтовым аккаунтам или возможность установить какое-либо вредоносное программное обеспечение, чтобы закрепиться на уязвимой машине или в сети в дальнейшем.

Всего было обнаружено четыре уязвимости:

  • CVE-2021-26855 типа SSRF (Server-Side Request Forgery), позволяющая подделать запрос от имени сервера и дающая возможность удаленного исполнения кода (RCE), заставив Exchange сервер выступать в роли некого прокси-сервера. Атакующий может с помощью специально сформированного запроса, не авторизовавшись в системе, отправить запрос на Exchange сервер, который перенаправит его в другое место.
  • CVE-2021-26857, заключающаяся в небезопасной десериализации данных (Unsafe Deserialization) в службе Unified Messaging и приводящая к потенциальной возможности удаленного исполнения кода (RCE). Из-за недостаточных проверок контролируемых пользователей файлов атакующий может, подделав тело данных, заставить службу, запускаемую с привилегиями системы, исполнить произвольный код.
  • CVE-2021-26858, позволяющая авторизованному пользователю Exchange перезаписать своими данными любой файл в системе. Для этого атакующему нужно скомпрометировать учетные данные администратора или использовать другую уязвимость, например, SSRF-уязвимость CVE-2021-26855.
  • CVE-2021-27065 схожа с CVE-2021-26858 и дает атакующему право на перезапись любого файл в системе, если он авторизован на Exchange-сервере.

По данным нашего сервиса Threat Intelligence, данные уязвимости уже широко используются злоумышленниками в атаках на организации по всему миру.

География атак с использованиям упомянутых уязвимостей в MS Exchange (по данным KSN) (скачать)

Мы считаем, что с высокой вероятностью можно ожидать роста количества попыток использования этих уязвимостей для проникновения в корпоративные сети с целью кражи конфиденциальных данных, а также, вполне вероятно, использования шифровальщиков.

Как мы защищаем наших пользователей от данной угрозы

Наши продукты защищают от данных угроз при помощи компонентов Анализ поведения и Защита от эксплоитов с вердиктом PDM:Exploit.Win32.Generic.
Мы детектируем эксплоиты к данным уязвимостям со следующими вердиктами:

  1. Exploit.Win32.CVE-2021-26857.gen
  2. HEUR:Exploit.Win32.CVE-2021-26857.a

Мы также детектируем и блокируем полезную нагрузку, которую, по данным нашего Threat Intelligence, злоумышленники загружают при эксплуатации указанных уязвимостей. Возможные имена вердиктов включают следующие (но не ограничиваются ими):

  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic

Мы активно отслеживаем ситуацию с использованием данных уязвимостей. При необходимости дополнительная логика детектирования будет выпущена с обновлением баз.
Наше решение Endpoint Detection and Response помогает обнаруживать атаки на ранней стадии, помечая подозрительные действия специальными IoA метками (и создавая соответствующие алерты). Так, ниже представлен пример разметки запуска powershell из-подпроцесса IIS Worker process (w3wp.exe) в результате эксплуатации уязвимости:

В рамках нашего сервиса Managed Detection and Response наши SOC эксперты обнаружат и остановят эксплуатацию упомянутых уязвимостей и возможные последующие шаги атакующих и активность полезной нагрузки по горизонтальному перемещению внутри сети.

Более подробное описание атак с использованием данных уязвимостей в скором времени будет доступно подписчикам сервиса APT Intelligence Reporting. За дополнительной информацией можно обратиться по адресу [email protected]

Рекомендации

  1. Microsoft уже выпустила обновления безопасности, закрывающие указанные уязвимости. Мы настоятельно рекомендуем организациям как можно скорее обновить Exchange.
  2. Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.
  3. Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
  4. Использовать надежное решение, такое как Kaspersky Endpoint Security для бизнеса, в котором реализован механизм противодействия эксплойтам, а также функции обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий. Kaspersky Endpoint Security для бизнеса также располагает средствами самозащиты, которые помешают киберпреступникам его удалить.