Sākumlapa » Apdraudējumi » Aizlāpītas uzreiz četras uzbrukumos izmantotas Microsoft Exchange nulles dienas ievainojamības (papildināts)

Aizlāpītas uzreiz četras uzbrukumos izmantotas Microsoft Exchange nulles dienas ievainojamības (papildināts)

Korporācija Microsoft ir izlaidusi Microsoft Exchange ārkārtas drošības atjauninājumus, kas novērš uzreiz četras nulles dienas ievainojamības, kuras aktīvi tiek izmantotas mērķētos uzbrukumos.

Minētās četras nulles dienas ievainojamības tiek ekspluatētas kopā, lai iegūtu piekļuvi Microsoft Exchange serveriem, zagtu e-pastus un ievietotu ļaunprogrammatūru tālākai piekļuvei datortīkliem. Uzbrukuma realizācijai attāliem uzbrucējiem jāpiekļūst Microsoft Exchange serverim caur portu 443. Ja piekļuve ir pieejama, uzbrucēji izmanto sekojošas ievainojamības, lai iegūtu attālu piekļuvi: CVE-2021-26855; CVE-2021-26857; CVE-2021-26857 un CVE-2021-26857.

Microsoft ziņo, ka ievainojamības izmantojis Ķīnas valsts atbalstīts kiberuzbrucēju grupējums, kas pazīstama kā Hafnium. Uzbrukumu bīstamības dēļ Microsoft iesaka administratoriem “nekavējoties instalēt šos atjauninājumus”!

Lai instalētu Microsoft Exchange atjauninājumus, serveriem jādarbojas ar atbilstošās Exchange Server versijas jaunākajiem kumulatīvajiem atjauninājumiem (CU) un atjauninājumu apkopojumiem (RU). Administratori plašāku informāciju par šo atjauninājumu ieviešanu var atrast īpašā Microsoft rakstā, kuru publicējusi Exchange komanda.

Lai noteiktu, vai, izmantojot šīs ievainojamības, ir notikusi ielaušanās Microsoft Exchange serverī, Microsoft piedāvā instrukcijas žurnālu pārbaudei, lai atrastu uzbrukuma pēdas.

Papildināts 05.03.2021

Pakalpojums Kaspersky Threat Intelligence uzrāda augstāk minēto Microsoft Exchange ievainojamību izmantošanas mēģinājumus visā pasaulē! Kaspersky kiberdrošības eksperti uzskata, ka tas ir tikai sākums un ka ir sagaidāmi daudzi mēģinājumi ielauzties uzņēmumu un iestāžu datortīklos. Pastāv augsts uzbrukumu risks ar izspiedējvīrusu izmantošanu, kas var novest pie datu noplūdes.

Kaspersky drošības risinājumi, tādi kā Kaspersky Endpoint Security for Business, spēj pasargāt no ievainojamību ekspluatēšanas ar produktos iekļautajām tehnoloģijām Behavior Detection and Exploit Prevention, atklājot mēģinājumus ar verdiktu PDM:Exploit.Win32.Generic.

Uzņēmuma produkti detektē atbilstošos ekspluatējumus kā:

  • Exploit.Win32.CVE-2021-26857.gen
  • HEUR:Exploit.Win32.CVE-2021-26857.a

Tāpat Kaspersky produkti detektē arī ļaunprogrammatūru (lūkas), kas saskaņā ar pakalpojuma Kaspersky Threat Intelligence datiem izmanto minētās ievainojamības. Iespējamie verdikti ir (var būt arī citi):

  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic

Situācija tiek rūpīgi uzraudzīta un drīz būs pieejams detalizēts pētījums Kaspersky pakalpojuma APT Intelligence Reporting ietvaros.

Papildināts 06.03.2021

ASV cietuši vismaz 30 000 uzņēmumu un iestāžu

ziņo vietne KrebsOnSecurity, atsaucoties uz vairākiem avotiem, neparasti agresīva Ķīnas kiberspiegu grupa, kas specializējusies organizāciju e-pasta sūtījumu zagšanā, ASV pēdējās dienās ir uzlauzusi vismaz 30 000 organizāciju, tostarp arī daudz mazo uzņēmumu, ciematu un pilsētu pašvaldību pasta serverus. Šī spiegu grupa ļaunprātīgi izmanto četras nesen atklātas e-pasta programmatūras Microsoft Exchange Server ievainojamības un ir uzlauzusi simtiem tūkstošiem organizāciju visā pasaulē ar rīkiem, kas uzbrucējiem ļauj attāli pilnīgi kontrolēt uzlauztās sistēmas.

Microsoft 2. martā izlaida ārkārtas drošības atjauninājumus, lai likvidētu četras drošības nepilnības Exchange Server 2013. – 2019. gada versijās, kuras hakeri plaši izmantoja, lai zagtu e-pasta sūtījumus no sistēmām, kas savienotas ar internetu un kurās darbojas Exchange. Drošības eksperti stāsta, ka nākamo trīs dienu laikā pēc drošības atjauninājumu izlaišanas tā pati Ķīnas kiberspiegu grupa būtiski pastiprinājusi uzbrukumus neaizsargātiem, neatjauninātiem Exchange serveriem visā pasaulē.

Pēc katra incidenta iebrucēji uzstādījuši “tīmekļa čaulu” — viegli lietojamu, ar paroli aizsargātu uzlaušanas rīku, kuram var piekļūt no interneta ar jebkuru pārlūku. Tīmekļa čaula nodrošina uzbrucējiem piekļuvi ar administratora tiesībām upura serveriem.

Divi datordrošības eksperti, kas bija informējuši ASV nacionālās drošības konsultantus par šo uzbrukumu un nevēlējās izpaust savus vārdus, pastāstīja KrebsOnSecurity, ka Ķīnas hakeru grupa, kas, domājams, ir atbildīga par notikušo, esot pārņēmusi savā varā “simtiem tūkstošu” Microsoft Exchange serveru visā pasaulē, turklāt visbiežāk katra uzlauztā sistēma pieder atsevišķai organizācijai, kas izmanto Exchange, lai apstrādātu savu e-pastu.

Microsoft ziņo, ka Exchange ievainojamības ļaunprātīgi izmanto līdz šim nezināma ķīniešu hakeru grupa, kuru Microsoft dēvē par Hafnium.

Uzņēmuma Volexity prezidents Stīvens Adairs informē, ka viņa uzņēmums uzbrucējus, kuri izmantoja Exchange ievainojamības, pirmo reizi pamanījis 2021. gada 6. janvārī, kad lielākā daļa cilvēku pasaulē skatījās televīzijas pārraides par nemieriem pie ASV Kapitolija.

Taču Adairs saka, ka pēdējo dienu laikā hakeru grupa esot īpaši intensīvi meklējusi internetā Exchange serverus, kurus vēl neaizsargā otrdien izlaistie Microsoft drošības atjauninājumi.

“Mēs līdz šim esam apstrādājuši desmitiem gadījumu, kad jau 28. februārī [pirms Microsoft paziņojuma par ielāpiem] un līdz pat šodienai upuru sistēmā tika ievietotas tīmekļa čaulas,” paskaidro Adairs. “Pat ja jūs uzstādījāt ielāpu tajā pašā dienā, kad Microsoft to publicēja, joprojām ir liela iespēja, ka jūsu serverī ir tīmekļa čaula. Vārdu sakot, ja jūs izmantojat Exchange un vēl neesat to lāpījis”, tad ļoti iespējams, ka jūsu organizācija ir apdraudēta.”

Tikmēr ASV Kiberdrošības un infrastruktūras drošības pārvalde (CISA) ir izdevusi ārkārtas direktīvu visiem federālajiem civilajiem departamentiem un iestādēm, kurās darbojas neaizsargāti Microsoft Exchange serveri, liekot vai nu atjaunināt programmatūru, vai atvienot šos serverus no sava tīkla.

Adairs uzsver, ka viņš ir saņēmis desmitiem zvanu no valsts un pašvaldību iestādēm, kuras ir atradušas hakeru ievietoto lūku savos Exchange serveros un lūdz palīdzību. Taču ievainojamību novēršana ar atjauninājumu tikai bloķē veidus, kurus hakeri izmanto, lai iekļūtu sistēmā. Tā nekādi nepalīdz novērst jau nodarītos zaudējumus.

Baltā nama preses sekretāre Džena Psaki žurnālistiem sacīja, ka plaši izmantotajos Microsoft Exchange serveros atrastās ievainojamības ir “nozīmīgas” un ka “tām var būt tālejošas sekas”.

“Mēs esam noraizējušies par to, ka ir tik daudz upuru,” uzsvēra Psaki.

Pēc visa spriežot, šo iebrucēju izskaušanai vajadzēs veikt bezprecedenta un steidzamus tīrīšanas pasākumus valsts mērogā. Adairs un citi ir noraizējušies par to, ka, jo ilgāk skartajā sistēmā atrodas lūka, jo lielāka ir iespēja, ka iebrucēji uzstādīs vēl citas, papildu lūkas un, iespējams, paplašinās uzbrukumu arī citās upura tīkla infrastruktūras daļās.

Drošības pētnieki ir publicējuši vairākus rīkus neaizsargātu serveru noteikšanai. Viens no šiem rīkiem, Microsoft darbinieka Kevina Bomonta skripts, kas palīdz uzņēmumiem identificēt apdraudētos serverus, ir pieejams Github.

KrebsOnSecurity ir daļēji zināms upuru saraksts, kas sastādīts, izmantojot šādu rīku, un stāvoklis nav nekāds labais. Tīmekļa čaula, par kuru ir runa, ir atrodama tūkstošiem ASV organizāciju, tostarp banku, krājaizdevumu sabiedrību, bezpeļņas organizāciju, telekomunikāciju pakalpojumu sniedzēju, komunālo pakalpojumu, policijas, ugunsdzēsības un glābšanas vienību datortīklos.

“Tās ir policijas pārvaldes, slimnīcas, daudzu pilsētu pārvaldes, štatu valdības un krājaizdevumu sabiedrības,” stāsta kāds avots, kurš šajā jautājumā cieši sadarbojas ar federālajām amatpersonām. “Gandrīz visi, kas izmanto paši savu serveri ar Outlook Web Access un nav pirms dažām dienām uzstādījuši atjauninājumu, tagad ir piedzīvojuši nulles dienas uzbrukumu.”

Papildināts 07.03.2021

CERT.LV ir izlaidis skriptu Exchange serveru pārbaudei, ko atzīmē arī ārzemēs.

Virkne Eiropas kibersargu ir izlaiduši brīdinājumus:

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

7 + 1 =

Uz augšu