Microsoft Exchange

Рансъмуер експлоатира наскоро разкрита ProxyShell уязвимост на Microsoft Exchange сървъри с цел хакване на корпоративни мрежи.

Това е установила компанията за киберсигурност Sophos, докато е разследвала инцидент при свой клиент, от когото е поискан откуп.

Степента на заплахата е класифицирана като „висока“. Престъпниците сканират постоянно интернет за жертви. След като ви набележат, могат да получат достъп почти незабавно и до часове да заразят мрежата ви. Следващата стъпка е получаване на администраторски достъп до домейна и изпълнение на злонамерени команди.

Препоръки:

• Актуализирайте възможно най-скоро локалния си Exchange Server; ако използвате стара версия, приоритетно мигрирайте към актуална и инсталитайте пачовете.
• Приложите защита от злонамерен софтуер за своите сървъри – престъпниците преследват точно тях, защото знаят, че те не са толкова защитени, колкото крайните точки.
• Проследявайте, документирайте и актуализирайт редовно администраторските права за достъп до сървърите ви.

Последен ъпдейт на 11 май 2021 в 16:29 ч.

Руската външна разузнавателна служба SVR, известна още сред изследователите по киберсигурност като APT29, Cozy Bear и The Dukes, продължава да атакува правителства, организации и доставчици на енергия по целия свят. Хакерската група се възползва от нови техники, включително експлоатация на zero-day уязвимости, като тези на Microsoft Exchange.

Предупреждението идва едновременно от Агенцията за сигурност на инфраструктурата за киберсигурност (CISA), Федералното бюро за разследвания (ФБР) и Националната агенция за сигурност (NSA) на САЩ, както и от Националния център за киберсигурност на Обединеното кралство. Службите приписват на SVR атаката SolarWinds и няколко кампании, насочени към разработчиците на ваксини срещу Covid-19.

Сред експлоатираните уязвимости (всички те имат налични пачове) се включват:

• CVE-2018-13379 FortiGate
• CVE-2019-1653 Cisco router
• CVE-2019-2725 Oracle WebLogic Server
• CVE-2019-9670 Zimbra
• CVE-2019-11510 Pulse Secure
• CVE-2019-19781 Citrix
• CVE-2019-7609 Kibana
• CVE-2020-4006 VMWare
• CVE-2020-5902 F5 Big-IP
• CVE-2020-14882 Oracle WebLogic
• CVE-2021-21972 VMWare vSphere

Нападателите се насочват също и към пощенски сървъри, чрез които придобиват администраторски права и по-нататъшна мрежова информация и достъп.

Препоръки:

• Проверете дали сте приложили всички налични корекции и ако това не е така, направете го незабавно
• Използвайте многофакторно удостоверяване, за да защитите мрежата си от атака в случай на компрометирани пароли

Хакът, който в началото на 2021 г. засегна десетки хиляди клиенти на Microsoft Exchange Server по целия свят, остави множества задни врати (backdoor) в компрометираните системи. Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.

Голяма част от компаниите и организациите вече са закърпили уязвимостите, но все още съществуват заразени устройства. Те могат да бъдат експлоатирани с цел провеждане на последващи атаки.

Затова Федералното бюро за разследвания (ФБР) на САЩ е издействало съдебно разрешение за извършване на отдалечена операция по премахване на злонамерения софтуер.

Агенцията използва именно същите web shells / backdoors, за да проникне отдалечено в незащитени устройства и да изтрие малуера от тях. Смята се, че това ще предотврати ескалиране на постоянен, неоторизиран достъп до мрежата.

След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.

Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.

Атаката се разпространява

Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry @MsftSecIntel

— Phillip Misner (@phillip_misner) March 12, 2021

До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.

Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:

• Ransomware/Win.DoejoCrypt [AhnLab]
• Win32/Filecoder.DearCry.A [ESET]
• Trojan-Ransom.DearCry.B [GDATA]
• Ransom-DearCry [McAfee]
• Ransom:Win32/DoejoCrypt.A [Microsoft]
• DearCry [Rising]
• Ransom/W32.DearCry [TACHYON]
• Win32.DEARCRY [TrendMicro]
• Ransomware.Dearcry [Webroot]

Как DearCry криптира компютрите

Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: [highlight color=“gray“]C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb[/highlight]

Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:

[toggle title=““ state=“open“].TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS[/toggle]

Криптираните файлове получават допълнително разширение .CRYPT:

Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:

След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:

Пачнахте ли Microsoft Exchange сървърите си

Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.

Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост

Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.

Препоръки

Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.

Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:

Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEH pic.twitter.com/xD94M8Czg5

— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021

Двете големи кибератаки от последните месеци, насочени към сървърите на Microsoft Exchange и софтуера за сигурност SolarWinds, потенциално компрометираха хиляди държавни и частни компютърни мрежи.

Затова  Белият дом обединява усилия с частния сектор за увеличаване на киберзащитата в държавата.

За първи път компании от частния сектор са поканени да участват в ключови срещи за националната сигурност с цел да подпомогнат намирането на адекватни решения.

Нуждата от прилагане на спешни мерки се налага и от появата на нов щам на рансъмуер, който използва недостатък в сигурността на сървърите на Microsoft Exchange.

Последен ъпдейт на 24 март 2021 в 09:00 ч.

В началото на март 2021 Microsoft пусна ъпдейт за Exchange Server, който коригира четири zero-day уязвимости.

Оттогава обаче специалисти по сигурността наблюдават още по-засилена (дори автоматизирана) кампания по тяхното експлоатиране, която може да бъде използвана за последващо внедряването на рансъмуер и кражба на данни. Ако до момента не сте приложили ъпдейта, потенциално сте застрашени.

Имайте предвид, че актуализацията ще коригира само уязвимостите на Exchange Server. Но ако вече сте компрометирани, ще трябва да премахнете задната врата (backdoor), която хакерите поставят, за да получат администраторски достъп до системата ви.

Microsoft изрично разясни, че тези експлойти нямат нищо общо със SolarWinds. Все пак, хакерската атака се разглежда като втората голяма криза в киберсигурността, идваща само месеци след като руски хакери поразиха девет федерални агенции на САЩ и стотици компании по целия свят.

Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.

Европейският банков орган (ЕБО) е сред най-скорошните жертви, които заявиха, че достъпът до лични данни чрез имейли, съхранявани на неговия Microsoft Exchange Server, може да е бил нарушен.

Досега са станали известни поне 60 хил. жертви в световен мащаб. Само в САЩ хакерите са проникнали в поне 30 хил. организации, използващи Exchange за обработка на имейли вкл. полицейски управления, болници, местни държавни структури, банки, телекомуникационни доставчици и др.

Препоръки:

1. Инсталирайте незабавно наличния ъпдейт, ако не сте го направили до момента
2. Когато не е възможно се инсталирате критичните актуализации на Microsoft Exchange, блокирайтет достъпа на недоверени връзки до порт 443; същевременно конфигурирайте вашия Exchange Server така, че достъпът до него да става само дистанционно, чрез VPN
3. Следете внимателно за злонамерена дейност, ако се съмнявате, че може да сте засегнати
4. Ако вече сте засегнати, може да използвате инструмента на Microsoft за смекчаване на негативните последици
5. Изключете Exchange Server и го възстановете отново
6. Обърнете се към специалист по киберсигурност за помощ, ако се затруднявате
7. Преминете към облачната услуга, която не е засегната от уязвимостите

Налични са няколко актуализации на защитата на Microsoft Exchange Server за справяне с уязвимости, които са били използвани при таргетирани атаки.

Уязвимостите са критични, затова е препоръчително незабавно да приложите ъпдейта.

#ESETresearch strongly advises to update all Microsoft Exchange servers (versions 2013, 2016 and 2019) to the latest update released today. Multiple pre-authentication Remote Code Execution vulnerabilities were found: https://t.co/E1xjhVY2a3 1/5

— ESET research (@ESETresearch) March 2, 2021

Уязвимостите засягат Microsoft Exchange Server, но не и Exchange Online.

 

82.5% от Microsoft Exchange сървърите, засегнати от критичната уязвимост CVE-2020-0688 все още не са пчнати. Общият им брой е над 357 хил. Ако сте сред тях, ъпдейтнете максимално бързо.

Пачът за уязвимостта е публикуван преди повече от 2 месеца – през февруари 2020 г. За самата уязвимост вече има Proof-of-concept (PoC). тя позволява отдалечено изпълнение на код (RCE).

Данните са от проучване на Rapid7.

[button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/80-percent-of-all-exposed-exchange-servers-still-unpatched-for-critical-flaw/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.