Keletas valstybės remiamų įsilaužimo grupių aktyviai naudojasi svarbiomis „Exchange“ klaidomis, kurias „Microsoft“ ištaisė antradienį teikdama avarinius ne-juostos saugos naujinimus.
„Microsoft“ susidūrė su keturiomis nulinėmis dienomis (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ir CVE-2021-27065), kurios buvo išnaudotos gamtoje ir dar trimis pažeidžiamumu (CVE-2021-270721-CVE-270721). 26854 ir CVE-2021-26412).
Mažiausiai keturios įsilaužėlių grupės naudojasi neseniai pataisytais mainų trūkumais
„Microsoft Exchange Server“ pažeidžiamumą CVE-2021-26855 šiuo metu naudoja išplėstinės nuolatinės grėsmės (APT) grupės kaip nuolatinių atakų dalį, kad būtų pasiektas neautentifikuotas nuotolinio kodo vykdymas nepataisytuose vietiniuose Exchange serveriuose.
Tris iš jų – Kinijos remiamą APT27, „Bronze Butler“ (taip pat žinomas kaip „Tick“) ir „Calypso“ – nustatė Slovakijos interneto saugos įmonė ESET, kuri teigia aptikusi keletą kitų valstybės remiamų grupių, kurių negalėjo nustatyti.
„ESET telemetrija rodo, kad CVE-2021-26855 (bent jau) laukinėje gamtoje aktyviai naudoja įvairios kibernetinio šnipinėjimo grupės“, – teigė ESET. „Tarp jų mes nustatėme LuckyMouse, Tick, Calypso ir kai kurias papildomas grupes, kurios dar nėra klasifikuojamos.
„Dauguma taikinių yra JAV, tačiau matėme atakas prieš serverius Europoje, Azijoje ir Artimuosiuose Rytuose. Tikslinės vertikalės yra vyriausybės, advokatų kontoros, privačios įmonės ir medicinos įstaigos.
„Microsoft“ nustatė ketvirtą Kinijos valstybės remiamą programišių grupę „Hafnium“, kuri, kaip buvo pastebėta, atakuoja JAV organizacijas, siekdama vogti duomenis.
Nors „Hafnium“ taikinių tapatybės dar neatskleidžiamos, „Microsoft“ pasidalijo anksčiau tikslinių pramonės sektorių sąrašu.
„Istoriškai „Hafnium“ pirmiausia yra skirtas subjektams Jungtinėse Valstijose, kad gautų informaciją iš įvairių pramonės sektorių, įskaitant infekcinių ligų tyrinėtojus, advokatų kontoras, aukštojo mokslo institucijas, gynybos rangovus, politines ekspertų grupes ir NVO“, – sakė „Microsoft Vice“. Prezidentas Tomas Burtas. sakė.
Interneto apvalkalas sumažėjo bent jau nuo sausio mėn
Kibernetinio saugumo įmonė „Huntress“ išsiaiškino, kad žiniatinklio apvalkalai buvo diegiami pažeistuose „Exchange“ serveriuose, kai jie reaguoja į šias nuolatines atakas – žiniatinklio apvalkalus, kurie suteiktų prieigą prie grėsmės subjektų po serverių atnaujinimo.
„Remiantis mūsų 209 išnaudotų serverių analize, ankstyviausias kompromiso požymis, kurį pastebėjome, buvo vasario 27 d. 1643 UTC, o paskutinis išleistas žiniatinklio apvalkalas buvo sukurtas prieš dvi valandas“, – sakė Huntress. Ji pasakė .
Kol kas nematėme reikšmingų skirtingų naudingųjų apkrovų, tačiau tikimės, kad tai įvyks per trumpą laiką (pakartodami, kad jų 30 dienų atidėto pataisų valdymo / konfigūravimo politika šioje situacijoje padarys daugiau žalos nei pagalbos).
„Taip pat pažymėtina, kad keli prieglobos kompiuteriai gavo 2–4 žiniatinklio apvalkalus (tai rodo automatinį diegimą be mutex arba kelių nekoordinuotų veikėjų).
Vienas iš šių atakų metu išleistų žiniatinklio apvalkalų yra Kinijos jungiklis (yra pavyzdys čia ).
Įdiegtas jis leidžia užpuolikams vykdyti Microsoft .NET kodą naudojant HTTP POST komandas, kad būtų galima įkelti ir atsisiųsti failus, paleisti programas, sudaryti katalogo turinį ir pasiekti Active Directory.
Reagavimo į volexity incidentus bendrovė Ji pasakė kad šios nulinės „Microsoft Exchange“ dienos buvo aktyviai naudojamos „jau 2021 m. sausio 6 d.“.
Administratoriai pakviesti kuo greičiau pataisyti
„Microsoft“ ragina administratorius nedelsdami įdiekite šiuos naujinimus ' apsaugoti pažeidžiamus vietinius Exchange serverius nuo šių nuolatinių atakų.
Norėdami nustatyti, ar jūsų „Exchange“ serveris jau buvo įsilaužtas, „Microsoft“. teikia konsolės ir PowerShell komandas Norėdami ištirti „Exchange Server“ įvykių žurnalus / žurnalus, ar nėra atakos pėdsakų.
„Microsoft“ vyresnysis grėsmių žvalgybos analitikas Kevinas Beaumontas taip pat sukūrė failą Nmap scenarijus Norėdami nuskaityti tinklus, ieškodami potencialiai pažeidžiamų Microsoft Exchange serverių.
Prieš atnaujindami Exchange serverius, turite įsitikinti, kad iš anksto įdiegėte suderinamą kaupiamąjį naujinimą (CU) ir kaupiamąjį naujinimą (RU).
Daugiau informacijos apie tai, kaip įdiegti pataisas, rasite čia straipsnį paskelbė Microsoft Exchange komanda .
Ką tu manai?
