Инциденты

Zero-day уязвимости в Microsoft Exchange Server

Что произошло

Несколько дней назад, 2 марта, вышли несколько публикаций, рассказывающих о новых уже эксплуатируемых in-the-wild уязвимостях в MS Exchange. Данные уязвимости позволяют злоумышленнику так скомпрометировать уязвимый Microsoft Exchange сервер, что он сможет получить доступ к любым зарегистрированным почтовым аккаунтам или возможность установить какое-либо вредоносное программное обеспечение, чтобы закрепиться на уязвимой машине или в сети в дальнейшем.

Всего было обнаружено четыре уязвимости:

  • CVE-2021-26855 типа SSRF (Server-Side Request Forgery), позволяющая подделать запрос от имени сервера и дающая возможность удаленного исполнения кода (RCE), заставив Exchange сервер выступать в роли некого прокси-сервера. Атакующий может с помощью специально сформированного запроса, не авторизовавшись в системе, отправить запрос на Exchange сервер, который перенаправит его в другое место.
  • CVE-2021-26857, заключающаяся в небезопасной десериализации данных (Unsafe Deserialization) в службе Unified Messaging и приводящая к потенциальной возможности удаленного исполнения кода (RCE). Из-за недостаточных проверок контролируемых пользователей файлов атакующий может, подделав тело данных, заставить службу, запускаемую с привилегиями системы, исполнить произвольный код.
  • CVE-2021-26858, позволяющая авторизованному пользователю Exchange перезаписать своими данными любой файл в системе. Для этого атакующему нужно скомпрометировать учетные данные администратора или использовать другую уязвимость, например, SSRF-уязвимость CVE-2021-26855.
  • CVE-2021-27065 схожа с CVE-2021-26858 и дает атакующему право на перезапись любого файл в системе, если он авторизован на Exchange-сервере.

По данным нашего сервиса Threat Intelligence, данные уязвимости уже широко используются злоумышленниками в атаках на организации по всему миру.

Мы считаем, что с высокой вероятностью можно ожидать роста количества попыток использования этих уязвимостей для проникновения в корпоративные сети с целью кражи конфиденциальных данных, а также, вполне вероятно, использования шифровальщиков.

Как мы защищаем наших пользователей от данной угрозы

Наши продукты защищают от данных угроз при помощи компонентов Анализ поведения и Защита от эксплоитов с вердиктом PDM:Exploit.Win32.Generic.
Мы детектируем эксплоиты к данным уязвимостям со следующими вердиктами:

  1. Exploit.Win32.CVE-2021-26857.gen
  2. HEUR:Exploit.Win32.CVE-2021-26857.a

Мы также детектируем и блокируем полезную нагрузку, которую, по данным нашего Threat Intelligence, злоумышленники загружают при эксплуатации указанных уязвимостей. Возможные имена вердиктов включают следующие (но не ограничиваются ими):

  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic

Мы активно отслеживаем ситуацию с использованием данных уязвимостей. При необходимости дополнительная логика детектирования будет выпущена с обновлением баз.
Наше решение Endpoint Detection and Response помогает обнаруживать атаки на ранней стадии, помечая подозрительные действия специальными IoA метками (и создавая соответствующие алерты). Так, ниже представлен пример разметки запуска powershell из-подпроцесса IIS Worker process (w3wp.exe) в результате эксплуатации уязвимости:

В рамках нашего сервиса Managed Detection and Response наши SOC эксперты обнаружат и остановят эксплуатацию упомянутых уязвимостей и возможные последующие шаги атакующих и активность полезной нагрузки по горизонтальному перемещению внутри сети.

Более подробное описание атак с использованием данных уязвимостей в скором времени будет доступно подписчикам сервиса APT Intelligence Reporting. За дополнительной информацией можно обратиться по адресу intelreports@kaspersky.com.

Рекомендации

  1. Microsoft уже выпустила обновления безопасности, закрывающие указанные уязвимости. Мы настоятельно рекомендуем организациям как можно скорее обновить Exchange.
  2. Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.
  3. Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
  4. Использовать надежное решение, такое как Kaspersky Endpoint Security для бизнеса, в котором реализован механизм противодействия эксплойтам, а также функции обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий. Kaspersky Endpoint Security для бизнеса также располагает средствами самозащиты, которые помешают киберпреступникам его удалить.

Zero-day уязвимости в Microsoft Exchange Server

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Андрей

    Добрый день. Почему в контексте защиты серверной ОС предлагается установка KES, а не KSWS?

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике