1. Описание зафиксированной угрозы 

  • [Название угрозы]: Множественные 0-day уязвимости в Microsoft Exchange Server и атаки APT-группировки Hafnium 
  • [Тип угрозы]: уязвимости и кибератаки
  • [CVE]: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021- 270651 , CVE-2021-26412, CVE-2021-26854, CVE-2021-27078
  • [CVSS vector]: N/A
  • [Product]: Microsoft Exchange Server 2010 (RU 31 for Service Pack 3), 2013 (CU 23), 2016 (CU 19, CU 18), 2019 (CU 8, CU 7), гибридные среды Exchange
  • [OS version]: Microsoft Windows
  • [Severity]: 9.1, 7.8, 7.8, 7.8, 9.1, 6.6, 9.1
  • [Дата обнаружения]: 02.03.2021

2 марта 2020 года, специалисты центра киберразведки Microsoft (MSTIC) опубликовали уведомление о деятельности новой APT-группировки Hafnium, которая совершает атаки с территории Китая. По информации в сообщении, злоумышленники из Hafnium использовали ранее неизвестные (0-day) эксплоиты в целевых атаках против on-premise исталляций продукта Microsoft Exchange Server. Атаки состояли из трех этапов. Сначала атакующий получал доступ к серверу Exchange либо с помощью ранее украденных паролей, либо с помощью недокументированной уязвимости CVE-2021-26855 и маскировался под легитимного пользователя. На втором этапе, на скомпрометированном сервере создавалась веб-оболочка (web-shell) для удаленного управления. После чего, удаленный доступ использовался для кражи данных из сети организации с частных (VPS) серверов, расположенных в США.

2.Технические детали угрозы

На сегодняшний (04.03.21) день технические детали уязвимостей активно изучаются и доступных рабочих эксплоитов (PoC) пока не опубликовано. Известно, что уязвимости используются для первичного доступа к серверу Exchange или для повышения привилегий/ выполнения произвольного кода в уже скомпрометированной системе. В первую очередь, уязвимостям подвержены инсталляции Exchange Server, публично доступные из Интернета, на которых работают такие приложения как Outlook Web App (OWA) или Exchange Control Panel (ECP). Атака происходит по протоколу HTTP на порт TCP/443. После успешного первичного доступа, злоумышленники разворачивают на взломанном сервере веб-оболочку (web-shell) для удаленного управления сервером.

Пример вредоносного кода веб-шелла:
1.0.png

C помощью удаленного доступа, операторы Hafnium производят следующие действия:
  • Использование утилиты Procdump для кражи памяти процесса LSASS (Local Security Authority Subsystem Service), содержащего сведения об учетных данных всех аутентифицированных пользователей:1.png
  • Использование архиватора 7-Zip для сжатия украденных данных и  их последующей эксфильтрации:
2.png
  • Установка дополнительных оснасток для управления сервером Exchange с помощью PowerShell:
3.png
  • Использование утилиты из набора Nishang Invoke-PowerShellTcpOneLine для установки реверсивного TCP-шелла, с помощью которого устанавливается соединение к командному серверу (C&C) злоумышленников:
4.png
  • Скачивание и использование утилиты PowerCat с GitHub для альтернативной связи с C&C: 
5.png
  • Выгрузка Exchange offline address book (адресной книги с контактной информацией обо всех сотрудниках организации)

2.1 Сведения об уязвимостях

Уязвимости использующиеся в реальных атаках Hafnium

- CVE-2021-26855

  • Base CVSS Score 9.1
  • Сложность эксплуатации: Низкая
  • Вектор атаки: Сетевой
  • Действия со стороны пользователя: Не требуются
  • Требуемые привилегии: Нет
Уязвимость удаленного выполнения кода класса SSRF (Server Side Request Forgery) позволяющая злоумышленнику изменить поведение на стороне сервера (в частности выполнить обход обязательной аутентификации в веб-приложении) с помощью специально созданного HTTP-запроса на порт TCP/443. Уязвимость может быть проэксплуатирована удаленно и не требует привилегий на атакуемом сервере. Является одной из наиболее опасных опубликованных уязвимостей и часто становится отправной точкой в цепочке атак, в которой применяются остальные уязвимости.

- CVE-2021-26857

  • Base CVSS Score 7.8
  • Сложность эксплуатации: Низкая
  • Вектор атаки: Локальный
  • Действия со стороны пользователя: Требуются
  • Требуемые привилегии: Нет
Уязвимость не может быть проэксплуатирована удаленно, однако может применять для развития атаки на уже скомпрометированном Exchange Server или после применения уязвимости CVE-2021-26855. Для эксплуатации уязвимости требуется пользовательское взаимодействие для запуска вредоносного кода на стороне скомпрометированной системы. Относится к классу некорректной десериализации данных (insecure deserialization) в компонентах сервиса Exchange Unified Messaging  (UMWorkerProcess.exe). Использование этой уязвимости дало злоумышленникам из Hafnium возможность запускать вредоносный код с привилегиями SYSTEM на скомпрометированных серверах Exchange.

- CVE-2021-26858

  • Base CVSS Score 7.8
  • Сложность эксплуатации: Низкая
  • Вектор атаки: Локальный
  • Действия со стороны пользователя: Требуются
  • Требуемые привилегии: Нет
Уязвимость позволяет выполнить запись произвольного файла в произвольную директорию сервера Exchange после обхода (например с помощью CVE-2021-26855) или легитимного прохождения аутентификации.

- CVE-2021-27065

  • Base CVSS Score 7.8
  • Сложность эксплуатации: Низкая
  • Вектор атаки: Локальный
  • Действия со стороны пользователя: Требуются
  • Требуемые привилегии: Нет
Уязвимость также как и CVE-2021-26858 позволяет выполнить запись произвольного файла в произвольную директорию сервера Exchange после обхода (например с помощью CVE-2021-26855) или легитимного прохождения аутентификации.

Уязвимости, не замеченные в реальных атаках

  - CVE-2021-26412

  • Base CVSS Score 9.1
  • Сложность эксплуатации: Низкая
  • Вектор атаки: Сетевой
  • Действия со стороны пользователя: Не требуются
  • Требуемые привилегии: Высокие
Уязвимость выполнения произвольного кода. Не была замечена в реальных атаках. Технические детали и доступные сведения отсутствуют.

  - CVE-2021-26854

  • Base CVSS Score 6.6
  • Сложность эксплуатации: Сложная
  • Вектор атаки: Сетевой
  • Действия со стороны пользователя: Не требуются
  • Требуемые привилегии: Высокие
Уязвимость выполнения произвольного кода. Не была замечена в реальных атаках. Технические детали и доступные сведения отсутствуют.

  - CVE-2021-27078

  • Base CVSS Score 9.1
  • Сложность эксплуатации: Низкая
  • Вектор атаки: Сетевой
  • Действия со стороны пользователя: Не требуются
  • Требуемые привилегии: Высокие

Уязвимость выполнения произвольного кода. Не была замечена в реальных атаках. Технические детали и доступные сведения отсутствуют.

3. Рекомендации по устранению

Рекомендуется выполнить следующие действия (одно или несколько в зависимости от применимости к ИТ-процессам организации) для закрытия уязвимостей:
Как можно быстрее установить официальное обновление безопасности от Microsoft:
для Exchange Server 2013 (CU 23), Exchange Server 2016 (CU 19, CU 18), Exchange Server 2019 (CU 8, CU 7) – KB5000871:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-...

для Exchange Server 2010 (RU 31 for Service Pack 3) - KB5000978:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-...

Внимание! Обновление можно производить только с указанных версий CU. Чтобы узнать текущую версию CU, необходимо воспользоваться инструкцией:
https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates?view=exchserv...

Exchange Online не подвержен данным уязвимостям.
Обновлению подлежат все on-premise экземпляры Exchange Server.
Если используется гибридная среда, то в ней есть как минимум один on-premise экземпляр Exchange Server, который подлежит срочному обновлению.
Настроить VPN для доступа к опубликованным приложениям на сервере Exchange, таким как OWA или ECP

Если установка обновлений по каким-либо причинам не может быть выполнена, то единственным способом защиты от данных уязвимостей является ограничение доступа из Интернета к публично доступным серверам Exchange до тех пор, пока не будут установлены мартовские обновления безопасности.

Рекомендуется выполнить на серверах Exchange PowerShell скрипт, созданный командой Microsoft MSTIC для проверки фактов эксплуатации уязвимостей: https://github.com/microsoft/CSS-Exchange/blob/main/Security/Test-Hafnium.ps1

4. Основные индикаторы компрометации

таблица.jpg

5. Ссылки

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://github.com/microsoft/CSS-Exchange/blob/main/Security/Test-Hafnium.ps1
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-securi...
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-...