CyberSecurity

Ciąg Dalszy Ataków HAFNIUM na Serwery Microsoft Exchange z wykorzystaniem 0-day exploits

CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065.

Dzisiaj udostępniamy informacje o sponsorowanej przez państwo grupie cyberprzestępczej zidentyfikowanej przez Microsoft Threat Intelligence Center (MSTIC), jako Hafnium. Hafnium działa w Chinach i po raz pierwszy omawiamy jego działalność. To bardzo dobrze wyszkolona i wyrafinowana grupa.

Poprzednia działalność grupy nazywanej Hafnium jest skierowana przede wszystkim w kierunku podmiotów w USA w celu wydobywania informacji z wielu sektorów przemysłu, słuzby zdrowia, kancelarii prawniczych, instytucji szkolnictwa wyższego, sektora obronnego, ośrodków analitycznych i organizacji pozarządowych. Hafnium prawdopodobnie działa z Chin natomiast do ataków używa głównie dzierżawionych wirtualnych serwerów prywatnych (VPS) w Stanach Zjednoczonych. Nie możemy wykluczyć, że część ostatnich ataków mających miejsce w Polsce nie jest częścią właśnie tych działań.

Serwery Microsoft Exchange Pod Ostrzałem

Niedawno grupa Hafnium przeprowadziła szereg ataków przy użyciu nieznanych wcześniej exploitów wymierzonych w lokalne oprogramowanie Exchange Server. Ataki obejmowały trzy kroki. Po pierwsze, uzyskanie dostępu do serwera Exchange za pomocą skradzionych haseł lub wykorzystując nieodkryte wcześniej luki CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 I CVE-2021-27065.

CVE-2021-26855 to luka w zabezpieczeniach serwera Exchange służąca do fałszowania żądań (SSRF), umożliwia atakującemu wysyłanie dowolnych żądań HTTP i uwierzytelnianie jako serwer Exchange.

CVE-2021-26857 to niezabezpieczona luka deserializacji w usłudze Unified Messaging. Niezabezpieczona deserializacja ma miejsce, gdy niezaufane dane, którymi można sterować, są deserializowane przez program. Wykorzystanie tej luki dało HAFNIUM możliwość uruchomienia kodu jako SYSTEM na serwerze Exchange. Wymaga to uprawnień administratora lub wykorzystania innej luki do do zdobycia danych logowania.

CVE-2021-26858 i CVE-2021-27065 to występująca po uwierzytelnieniu luka umożliwiająca zapis dowolnego pliku w programie Exchange. Gdyby HAFNIUM mógł uwierzytelnić się na serwerze Exchange, mógłby wykorzystać tę lukę do zapisania pliku w dowolnym miejscu na serwerze. Niestety mogą to zrobić wykorzystując już wcześniej wspomniana lukę CVE-2021-26855 SSRF lub zdobywając dane uwierzytelniające uprawnionego administratora.

Po drugie, utworzenie zdalnego web-shell’a aby zdalnie kontrolować zaatakowany serwer. Po trzecie, użycie tego zdalnego dostępu – uruchamianego z prywatnych serwerów w USA – do kradzieży danych z sieci zaatakowanej organizacji.

To jest niestety realne zagrożenie. Jeąli Twoja organizacja obsługuje serwer OWA wystawiony publicznie sprawdź lepiej 8-znakowe pliki aspx w C: \ inetpub \ wwwroot \ aspnet_client \ system_web oraz kilku innych potencjalnych lokalizacji których listę znajdziesz pod tym linkiem. Lub sprawdź listę poniżej załaczonych hashy obecnie zidentyfikowanych web shell’i:

  • b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
  • 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
  • 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
  • 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
  • 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
  • 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
  • 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
  • 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Cyber Defense

Informacje z piątku o 30 000 organizacji, które padły ofiara tych ataków w ciągu weekendu podwoiły się do szacowanych około 60 000 klientów Microsoft Exchange Server, którzy zostali zhakowani na całym świecie, a Europejski Urząd Nadzoru Bankowego przyznaje teraz, że jest jedną z ofiar tych ataków –  wygląda na to, że Microsoft mógł poświęcić odrobine czasu i potraktować sprawę poważnie  łatając te luki wcześniej. Microsoft potwierdził, że został poinformowany o lukach na początku stycznia. To prawie dwa miesiące przed wydaniem przez Microsoft pierwszego zestawu poprawek wraz z postem na ich blogu, w którym nie wyjaśniono zakresu ani skali ataku.

W tym momencie wiadomość powinna być jasna, że każdy, kto ma zainstalowany lokalny serwer Microsoft Exchange (2010, 2013, 2016 lub 2019), musi wykonać poprawki i przeskanować serwery, ale tak naprawdę dopiero zaczynamy rozumieć zakres szkód. Hakerzy podobno zainstalowali złośliwe oprogramowanie, które może pozwolić im w powrocie na te serwery, a my nie wiemy jeszcze dokładnie co mogli już zrobić mając do nich dostęp.

Z USA „Oczekujemy pełnej reakcji rządu, aby ocenić i zająć się skalą ataków” – czytamy w wiadomości e-mail od urzędnika Białego Domu, według Bloomberga.

Firma Microsoft odmówiła komentarza na temat czasu wprowadzenia poprawek i momentu ujawnienia dziur, wskazując zamiast tego na poprzednie oświadczenie: „Ściśle współpracujemy z CISA, innymi agencjami rządowymi i firmami zajmującymi się bezpieczeństwem, aby zapewnić możliwie najlepsze wskazówki i środki zaradcze dla naszych klientów. Najlepszą ochroną jest jak najszybsze zastosowanie aktualizacji we wszystkich systemach, których dotyczy problem. Nadal pomagamy klientom, udostępniając dodatkowe wskazówki i przewodniki łagodzenia skutków. Klienci, których to dotyczy, powinni skontaktować się z naszymi zespołami pomocy technicznej, aby uzyskać dodatkową pomoc i zasoby ”.

My także służymy wsparciem w przeciwdziałaniu i zapobieganiu skutkom tego cyberataku!