На прошлой неделе компания Microsoft выпустила экстренные обновления безопасности для своего почтового сервера Exchange, исправляющие четыре уязвимости нулевого дня, которые активно используют хакеры. Предполагается, что за атакой стоит поддерживаемая китайским правительством хакерская группировка, известная как Hafnium.
По оценкам специалистов, минимум 30 000 организаций уже подверглись атакам в США. Более того, на протяжении выходных количество пострадавших организаций по всему миру увеличилось уже до 60 тыс.
В число жертв даже вошла Европейская банковская организация (EBA). Все пострадавшие компании и организации были клиентами Microsoft Exchange Server. Большинство из них – владельцы малого и среднего бизнеса.
Что касается Украины, по данным нашей последней проверки при помощи сервиса Shodan, 49% серверов Microsoft Exchange, расположенных в Украине, все еще не пропатчены и уязвимы
Применение доступных исправлений является главным приоритетом, но если нет возможности установить обновления в срочном порядке, необходимо отключить все уязвимые серверы. В настоящее время все, у кого есть серверы Exchange, должны провести их проверку на наличие признаков взлома.
ХРОНОЛОГИЯ СОБЫТИЙ
Атака началась в конце 2020 года и в конце февраля 2021 года переросла в широкомасштабную кампанию взлома. Злоумышленники используют четыре уязвимости нулевого дня в Microsoft Exchange Server.
2 марта Microsoft выпустила экстренное обновление, но к 5 марта его установили лишь на 10% устройств, подвергшихся атаке.
Сначала хакеры атаковали более значимые цели, в частности правительственные сети. Уже после того, как уязвимость обнаружили, они автоматизировали атаки и расширили масштабы.
Несмотря на то, что Hafnium находится в Китае, он осуществляет свою деятельность в основном из арендованных виртуальных частных серверов (VPS) в Соединенных Штатах.
Атаки состояли из трех этапов: сначала злоумышленники получили доступ к серверу Exchange с помощью украденных паролей или с помощью уязвимостей, которые не были обнаружены. Далее создали так называемую вебоболочку для удаленного управления сломанным сервером. И затем использовали удаленный доступ для кражи данных.
КОГО ЭТО КАСАЕТСЯ
На текущий момент особое внимание нужно проявить тем организациям, которые установили локальную версию Microsoft Exchange Server 2010, 2013, 2016 или 2019. Им нужно установить обновление от Microsoft и проверить систему на наличие 8-символьных файлов aspx в каталоге C:\inetpub\wwwroot\aspnet_client\system_web. Однако масштаб ущерба всё ещё предстоит оценить, так как хакеры установили вредоносное ПО, которое может позволить им снова вернуться на эти серверы. Microsoft сотрудничает с правительственными агентствами, но пока не называет сроки выхода полных исправлений.
Скорее всего, непропатченные серверы будут атаковаться всеми желающими еще долгое время. Отдельную проблему представляет установка бэкдора после взлома серверов: патчи способны закрыть изначальную точку входа, но уже атакованным организациям они не помогут. Все настолько плохо, что операторам серверов Microsoft Exchange рекомендуют исходить из того, что они уже взломаны.
КАК ЗАЩИТИТЬСЯ ОТ АТАК НА MS EXCHANGE
В данном случае ваш подход может зависеть от ваших внутренних ресурсов. Если у вас нет собственной команды безопасности, обратитесь за поддержкой к поставщику услуг безопасности или MSP.
Если же у вас есть специалисты по безопасности, рекомендации ниже могут им пригодиться.
Microsoft уже выпустила обновления безопасности, закрывающие указанные уязвимости. Мы настоятельно рекомендуем организациям как можно скорее обновить Exchange.
Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.
Если в вашей компании по каким-то причинам невозможно обновиться срочно, то Microsoft предлагает несколько альтернативных решений.
Эксперты Microsoft говорят, что начальную фазу атаки можно остановить, запретив недоверенный доступ к серверу Exchange через порт 443 или в целом ограничив подключения извне корпоративной сети. Однако это не поможет, если злоумышленники уже находятся внутри вашего периметра или если им удастся убедить пользователя с правами администратора запустить вредоносный файл.
Решение класса Endpoint Detection and Response (если у вас есть внутренние эксперты) или внешние специалисты сервисов типа Managed Detection and Response могут обнаружить подобное вредоносное поведение в сети.
Всегда помните, что каждый компьютер, подключенный к Интернету, будь то сервер или рабочая станция, нуждается в надежном решении, способном предотвращать эксплуатацию уязвимостей и имеющем систему проактивного обнаружения вредоносного поведения.
В заключение приводим ссылки на дoполнительные источники информации, которые помогут обнаружить проблему или уже взлом
скрипт для утилиты nmap для проверки наличия уязвимой версии Exchange: http://bit.ly/3t4R7XR
скрипт, проверяющий есть ли в вашем Exchange уязвимости из этого набора ProxyLogon: http://bit.ly/3bxxj9L
скрипт, проверяющий наличие уже произошедшего взлома и оставленного после себя киберзлоумышленниками закладку (shell) на будущее: http://bit.ly/3vcUTjK