Różności i nowinki technologia

Microsoft wydaje poprawki awaryjne na 4 wykorzystane 0-dni w programie Exchange

Słowo ZERO-DAY jest ukryte pośród ekranu wypełnionego jedynkami i zerami.

Firma Microsoft zachęca klientów do jak najszybszego zainstalowania poprawek awaryjnych w celu ochrony przed wysoko wykwalifikowanymi hakerami, którzy aktywnie wykorzystują cztery luki typu „zero-day” w programie Exchange Server.

Producent oprogramowania powiedział, że hakerzy pracujący w imieniu chińskiego rządu używali nieznanych wcześniej exploitów do hakowania lokalnego oprogramowania Exchange Server, które jest w pełni załatane. Jak dotąd Hafnium, jak Microsoft nazywa hakerów, jest jedyną grupą, którą widział wykorzystującą luki w zabezpieczeniach, ale firma twierdzi, że może się to zmienić.

„Mimo że pracowaliśmy szybko, aby wdrożyć aktualizację dla exploitów Hafnium, wiemy, że wiele podmiotów z państw członkowskich i grup przestępczych będzie działać szybko, aby wykorzystać wszelkie niezałatane systemy” – powiedział wiceprezes firmy Microsoft ds. Bezpieczeństwa klientów i zaufania Tom Burt napisał w poście opublikowanym we wtorek po południu. „Szybkie zastosowanie dzisiejszych poprawek to najlepsza ochrona przed tym atakiem”.

Burt nie zidentyfikował celów poza tym, że powiedział, że są to firmy korzystające z lokalnego oprogramowania Exchange Server. Powiedział, że Hafnium działa z Chin, głównie w celu kradzieży danych od amerykańskich badaczy chorób zakaźnych, firm prawniczych, instytucji szkolnictwa wyższego, kontrahentów obronnych, think tanków zajmujących się polityką i organizacji pozarządowych.

Burt dodał, że Microsoft nie jest świadomy tego, że celem ataków są indywidualni konsumenci ani że exploity dotyczyły innych produktów firmy Microsoft. Powiedział również, że ataki nie są w żaden sposób powiązane z hackami związanymi z SolarWinds, które włamały się do co najmniej dziewięciu agencji rządowych USA i około 100 prywatnych firm.

Dni zerowe występują w Microsoft Exchange Server 2013, 2016 i 2019. Cztery luki to:

  • CVE-2021-26855, luka w zabezpieczeniach związana z fałszowaniem żądań po stronie serwera (SSRF), która umożliwiła atakującym wysyłanie dowolnych żądań HTTP i uwierzytelnianie jako serwer Exchange.
  • CVE-2021-26857, niezabezpieczona luka deserializacji w usłudze Unified Messaging. Niezabezpieczona deserializacja ma miejsce, gdy niezaufane dane kontrolowane przez użytkownika są deserializowane przez program. Wykorzystanie tej luki umożliwiło Hafnium uruchomienie kodu jako SYSTEM na serwerze Exchange. Wymaga to uprawnień administratora lub innej luki do wykorzystania.
  • CVE-2021-26858, luka umożliwiająca zapis dowolnego pliku po uwierzytelnieniu. Gdyby Hafnium mógł uwierzytelnić się na serwerze Exchange, mógłby wykorzystać tę lukę do zapisania pliku w dowolnej ścieżce na serwerze. Grupa może się uwierzytelnić, wykorzystując lukę CVE-2021-26855 SSRF lub naruszając wiarygodne poświadczenia administratora.
  • CVE-2021-27065, luka umożliwiająca zapis dowolnego pliku po uwierzytelnieniu. Gdyby Hafnium mógł uwierzytelnić się na serwerze Exchange, mógłby wykorzystać tę lukę do zapisania pliku w dowolnej ścieżce na serwerze. Może się uwierzytelnić, wykorzystując lukę CVE-2021-26855 SSRF lub naruszając wiarygodne dane uwierzytelniające administratora.

Atak, powiedział Burt, obejmował następujące kroki:

  1. Uzyskaj dostęp do serwera Exchange za pomocą skradzionych haseł lub wykorzystując dni zerowe do zamaskowania hakerów jako personelu, który powinien mieć dostęp
  2. Utwórz powłokę internetową, aby zdalnie kontrolować zaatakowany serwer i
  3. Użyj tego zdalnego dostępu do kradzieży danych z sieci celu

Jak zwykle w przypadku Hafnium, grupa działała z dzierżawionych wirtualnych serwerów prywatnych w USA.

Więcej szczegółów, w tym wskaźniki kompromisu, można znaleźć tutaj i tutaj.

Firma Microsoft powierzyła firmom ochroniarskim Volexity i Dubex prywatne zgłaszanie różnych części ataku firmie Microsoft i pomoc w dochodzeniu, które nastąpiło po jego zakończeniu. Firmy korzystające z podatnej na ataki wersji programu Exchange Server powinny jak najszybciej zastosować poprawki.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook