El 2 de marzo de 2021, Microsoft publicó una actualización de emergencia para abordar 4 vulnerabilidades críticas en Exchange Server 2010, 2013, 2016 y 2019.
Nuestro equipo de Incidentes y Forense participa activamente en la investigación de incidentes resultantes de estas nuevas amenazas. Hemos observado que estas vulnerabilidades se utilizan de forma malintencionada para obtener acceso remoto a los servidores de Exchange y luego descargar datos confidenciales, incluidos buzones de correo completos.
Tenga en cuenta que lo más probable es que los atacantes utilicen el acceso remoto a Exchange para luego cambiar a sistemas aún más críticos, como los controladores de dominio.
Microsoft ha informado de que un grupo chino supuestamente patrocinado por el estado, HAFNIUM, explota estas vulnerabilidades. Según Microsoft , Exchange Online no se ve afectado por las mismas vulnerabilidades.
Descripción de vulnerabilidades
En total, cuatro CVE se explotan durante el ataque:
- CVE-2021-26855 es una vulnerabilidad de falsificación de solicitudes del lado del servidor de Exchange (SSRF) que permite a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse en nombre de un servidor de Exchange específico.
- CVE-2021-26857 - utilizado para escalar privilegios - escalada de privilegios, para obtener los privilegios de la cuenta del sistema en el servidor: SISTEMA
- CVE-2021-26858 y CVE-2021-27065 se utilizan para escribir archivos en una carpeta arbitraria (cualquiera) del servidor.
Los equipos de atacantes unen los exploits de estas vulnerabilidades para llevar a cabo ataques efectivos. Además, puede ver el análisis de estas operaciones desde Veloxity .
¿Cómo se produce el ataque?
- Los atacantes encuentran servidores Exchange vulnerables con el puerto HTTP abierto 443
- Aprovecha una vulnerabilidad SSRF (la primera de las descritas anteriormente) para obtener el acceso y la autenticación necesarios en nombre de este servidor de Exchange.
- (SYSTEM), , , (, ProcDump)
- Exchange / ,
- , , «»
- WebShell, .
- , Exchange, , . , Microsoft : Cumulative Update Security Update.
- Microsoft PowerShell , , ASPX(.aspx)
- (Kevin Beaumont) « » nmap
- - Varonis DatAlert :
- , Exchange;
- Web, , , DNS ( SWG [web-proxy] DNS Edge);
- , «» Exchange;
- , , ( , – Data Classification Engine).
PD: Si necesita ALGUNA ayuda, comuníquese con el equipo de Russian Varonis o con el Departamento de Investigación de Incidentes directamente a través de una página dedicada en nuestro sitio web y haremos todo lo posible para asegurarnos de que está seguro, incluso si su empresa no un cliente de Varonis.