Menaces émergentes - Exploitation massive des vulnérabilités d'Exchange Server (2010-2019)

Le 2 mars 2021, Microsoft a publié une mise à jour d'urgence pour résoudre 4 vulnérabilités critiques dans Exchange Server 2010, 2013, 2016 et 2019.



Notre équipe Incident and Forensics est activement impliquée dans les enquêtes sur les incidents résultant de ces nouvelles menaces. Nous avons observé que ces vulnérabilités sont utilisées de manière malveillante pour accéder à distance aux serveurs Exchange, puis décharger des données sensibles, y compris des boîtes aux lettres entières.



Gardez à l'esprit que les attaquants utilisent très probablement l'accès à distance à Exchange afin de passer ensuite à des systèmes encore plus critiques, tels que les contrôleurs de domaine.



Microsoft a signalé qu'un groupe chinois prétendument parrainé par l'État, HAFNIUM, exploitait ces vulnérabilités. Selon Microsoft , Exchange Online n'est pas affecté par les mêmes vulnérabilités.

Description des vulnérabilités

Au total, quatre CVE sont exploités lors de l'attaque:

• CVE-2021-26855 est une vulnérabilité de falsification de requête côté serveur Exchange (SSRF) qui permet aux attaquants d'envoyer des requêtes HTTP arbitraires et de s'authentifier au nom d'un serveur Exchange spécifique
• CVE-2021-26857 - utilisé pour augmenter les privilèges - élévation des privilèges, afin d'obtenir les privilèges du compte système sur le serveur: SYSTEM
• CVE-2021-26858 et CVE-2021-27065 sont utilisés pour écrire des fichiers dans un dossier arbitraire (n'importe quel) sur le serveur.

Des équipes d'attaquants relient les exploits de ces vulnérabilités afin de mener des attaques efficaces. Vous pouvez également consulter l' analyse de ces opérations à partir de Veloxity .

Comment l'attaque a-t-elle lieu

1. Les attaquants trouvent des serveurs Exchange vulnérables avec le port HTTP 443 ouvert
2. Exploite une vulnérabilité SSRF (la première de celles décrites ci-dessus) pour obtenir l'accès et l'authentification nécessaires au nom de ce serveur Exchange
3. (SYSTEM), , , (, ProcDump)
4. Exchange / ,
5. , , «»
6. WebShell, .

• , Exchange, , . , Microsoft : Cumulative Update Security Update.
• Microsoft PowerShell , , ASPX(.aspx)
• (Kevin Beaumont) « » nmap
• - Varonis DatAlert :
  
  
  
  
  • , Exchange;
  • Web, , , DNS ( SWG [web-proxy] DNS Edge);
  • , «» Exchange;
  • , , ( , – Data Classification Engine).

PS Si vous avez besoin d'aide, veuillez contacter l'équipe russe de Varonis ou contacter le service d'enquête sur les incidents directement via une page dédiée sur notre site Web et nous ferons de notre mieux pour nous assurer que vous êtes en sécurité, même si votre entreprise ne l'est pas. un client de Varonis.