Jeśli jesteście administratorami Exchange Server (2013, 2016, 2019) w modelu on-premise, powinniście jak najszybciej zainstalować łatki, które wczoraj wypuścił Microsoft. Chronią one system przed atakami na łatwo dostępne podatności. Są już one aktywnie exploitowane — w tym przez chińską grupę Hafnium.
Podatności zyskały ocenę dotkliwości 9.1 i są łatwe do wykorzystania. Luki te są bardzo łatwe do exploitowania — powiedział Steven Adair, President w Volexity, który je odkrył. Nie potrzebujesz żadnej specjalnej wiedzy do tych exploitów. Po prostu wchodzisz i mówisz: »Chciałbym włamać się i przeczytać wszystkie ich emaile«. To wszystko, co jest do zrobienia. W rzeczywistości oznaczono cztery luki w zabezpieczeniach o sygnaturach:
- CVE-2021-26855 — luka typu server-side request forgery (SSRF), przy pomocy której serwer można podstępem nakłonić do wykonywania poleceń, do których normalnie nie miałby zezwoleń, na przykład uwierzytelnienia się jako sam serwer Exchange.
- CVE-2021-26857 — wykorzystywana przez atakujących do uruchamiania kodu na koncie "system" na atakowanym serwerze Exchange.
- CVE-2021-26858 i CVE-2021-27065 — dwie kolejne podatności zero-day, które pozwalają atakującemu zapisywać pliki w dowolnej części serwera.
Jak twierdzi Microsoft, podatności te wykorzystywała chińska grupa sponsorowana przez państwo ("state-sponsored threat actor"), którą zidentyfikował Microsoft Threat Intelligence Center (MSTIC) i nadał jej nazwę Hafnium. Grupa działa z Chin i wczoraj firma po raz pierwszy omawiała jej aktywność.
Jest to wysoce wyszkolony i zaawansowany aktor. Hafnium obierał dawniej za cel przede wszystkim podmioty w Stanach Zjednoczonych w celu wyciągania informacji z wielu sektorów przemysłu, wliczając w to badania nad chorobami zakaźnymi, firmy prawnicze, instytucje edukacji wyższej, przemysł zbrojeniowy, organizacje think tank i NGO. Choć Hafnium ma siedzibę w Chinach, przeprowadza swoje operacje głównie poprzez wynajęte serwery VPN w Stanach Zjednoczonych.
W ostatnim czasie Hafnium przeprowadził pewną liczbę ataków z użyciem dotychczas nieznanych exploitów celujących w oprogramowanie Exchange Server. Jak dotąd Hafnium jest głównym aktorem, który według naszych obserwacji używał tych exploitów, które szczegółowo omawia MSTIC.
Ataki składają się z trzech etapów. Po pierwsze, uzyskują dostęp do Exchange Server za pomocą ukradzionych haseł albo używając wcześniej nieodkrytych podatności, aby podszyć się pod kogoś, kto powinien mieć dostęp. Po drugie, tworzą coś, co nazywa się web shell, aby kontrolować zdalnie przejęty serwer. Po trzecie, używają tego zdalnego dostępu — uruchamianego z prywatnych serwerów w USA — aby wykradać dane z sieci firmowej.
— Tom Burt, CVP Customer Security & Trust w Microsoft
Najlepszym sposobem na ochronę przed tymi wrogimi działaniami jest zainstalowanie przygotowanych przez Microsoft aktualizacji zabezpieczeń. Warto tu zaznaczyć, że podatności wykryto jedynie w Microsoft Exchange Server (2013, 2016 i 2019), natomiast Exchange Online nie jest nimi dotknięty.
Aktualizacja 15.03.2021: Microsoft opublikował poradnik o tym, jak najlepiej zabezpieczyć swoje wdrożenia serwerów Exchange. Jego pełną treść w naszym tłumaczeniu znajdziecie w naszym nowym artykule: Microsoft wyjaśnia, jak zabezpieczyć Exchange Server przed ostatnimi atakami.