Microsoft предупредила об активизации атак, использующих уязвимости непропатченных Exchange-серверов. Атаки проводятся несколькими хакерскими группами и затронули десятки тысяч предприятий и государственных структур в США, Азии и Европе.
Компания заявила, что «продолжает наблюдать за ростом использования уязвимостей в атаках, направленных на непропатченные системы несколькими злоумышленниками под общим названием «HAFNIUM», что свидетельствует об эскалации ситуации, то есть взломы больше не являются «ограниченными и узконаправленными», как считалось ранее.
По словам независимого журналиста по кибербезопасности Брайана Кребса, по меньшей мере, 30 000 организаций по всей территории США - в основном малый бизнес и местные органы власти - были скомпрометированы «необычайно агрессивной» китайской группой, которая поставила перед собой цель кражи электронных писем, используя ранее 0-day уязвимости Exchange Server.
О жертвах также сообщают из-за пределов США, например системы электронной почты предприятий в Норвегии и Чехии пострадали от серии использующих те же уязвимости хакерских атак. Норвежское управление национальной безопасности сообщило, что внедрило проверку IP-адресов по стране для выявления уязвимых серверов Exchange и «срочного уведомления этих компаний».
Колоссальные масштабы продолжающегося наступления на почтовые серверы Microsoft затмевают даже хакерскую атаку «SolarWinds», которая в декабре прошлого года затронула 18 000 клиентов. Как и в случае со взломом SolarWinds злоумышленники скорее всего нацелились только на крупные «мишени» основываясь на первоначальной разведке зараженных машин.
Непропатченные сервера Exchange под угрозой
Успешное использование уязвимостей позволяет атакующим проникнуть в сервера Microsoft Exchange в целевых сетях и впоследствии позволяет устанавливать бэкдоры на базе веб для получения долгосрочного доступа к сети организации. Так как в атаках участвуют разнообразные и многочисленные группировки, дальнейшая их активность в сети будет отличаться от одной группы к другой в зависимости от их мотивов.
Четыре бага, о которых идет речь, были исправлены Microsoft в рамках экстренного обновления системы безопасности в прошлый вторник, при этом компания предупредила что «многочисленные хакерские группировки смогут быстро получить доступ к любым системам без обновлений».
Агентство США по кибербезопасности и инфраструктурной безопасности (CISA), выпустившее экстренную директиву, предупреждающую об «активном использовании» уязвимостей, призвало работающие с Exchange Server правительственные учреждения либо обновить программное обеспечение, либо отключить системы от своих сетей.
«CISA знает о широко распространенной внутренней и международной эксплуатации уязвимостей Microsoft Exchange Server и настоятельно призывает сканировать журналы Exchange Server с помощью средства обнаружения IoC Microsoft, чтобы помочь определить компрометацию серверов» - сказано в сообщении агентства в твиттере 6 марта.
Стоит отметить, что простая установка выпущенных Microsoft патчей не будет иметь никакого эффекта на серверах, которые уже были взломаны. Организации, которые в результате взлома уже получили бэкдоры и другие вредоносы, продолжают оставаться под угрозой до тех пор, пока все последствия атаки в их сетях не будут полностью устранены.
Замечены многочисленные атаки
Команда исследования угроз «Mandiant» компании FireEye заявила, что «наблюдает множество случаев компрометации серверов Microsoft Exchange как минимум в одной клиентской среде» с начала года. Комапния Volexity - одна из организаций, которой приписывают заслуги в обнаружении данных уязвимостей - сообщила, что кампании по вторжению, похоже, начались примерно 6 января 2021 года.
О личностях злоумышленников известно не так уж много, за исключением того, что Microsoft с высокой степенью уверенности приписывает существующие эксплойты группе, известной как «Hafnium». Это опытная хакерская группа, предположительно поддерживаемая правительством Китая. «Mandiant» отслеживает активность вторжения в трех кластерах, UNC2639, UNC2640 и UNC2643, добавляя, что ожидает увеличения числа затронутых кластеров по мере обнаружения большего количества атак.
Представитель китайского правительства в заявлении агентству Reuters опроверг информацию о том, что за Китай имеет отношения к атакам.
«Существует, как минимум, пять различных кластеров активности, которые, по-видимому, используют уязвимости» - заявила Кэти Никельс, директор по разведке угроз Red Canary, отметив при этом отличия в технике и инфраструктуре от тех, что используются группой «Hafnium».
В одном конкретном случае Red Canary отмечает, что в сетях некоторых из атакованных компаний был развернут криптомайнер «DLTminer», вредоносная программа, задокументированная Carbon Black в 2019 году.
«Одна из вероятностей заключается в том, что «Hafnium» поделились или продали код эксплойта, в результате чего другие группы смогли воспользоваться этими уязвимостями» - сообщила Кэти Никельс. «Другая возможность - атакующие могли провести реверс-инжиниринг патчей Microsoft и самостоятельно выяснить, как использовать эти уязвимости».
Рекомендации Microsoft по снижению рисков
Помимо выпуска исправлений компания Microsoft опубликовала новое альтернативное руководство по снижению рисков, чтобы помочь пользователям Exchange, которым требуется больше времени для обновления своих серверов. Также было выпущено обновление инструмента Microsoft Safety Scanner (MSERT) для обнаружения бэкдоров и скрипт для проверки индикаторов компрометации. Их можно найти здесь.
«К этим уязвимостям нужно относиться серьезно» - заявил Мэт Гангвер, старший директор по реагированию на угрозы компании Sophos. «Они позволяют злоумышленникам удаленно выполнять команды на серверах без необходимости в учетных данных, и любой злоумышленник может легко их использовать».
«Широкое распространение Exchange-серверов и наличие доступа к ним через интернет означает, что многие организации могут быть в опасности» - добавил Кангвер.
Перевод сделан со статьи: https://thehackernews.com