Spoločnosť Microsoft vydáva núdzové opravy aktívne zneužívaných zraniteľností serveru Microsoft Exchange

Spoločnosť Microsoft vydala opravné aktualizácie pre kritické zraniteľnosti, ktoré sú aktívne zneužívané útočníkmi pri útokoch na Exchange servery, ktoré sú prevádzkované vo vlastnej infraštruktúre. Spoločnosť Microsoft pripisuje útoky APT skupine s názvom „Hafnium“. Hafnium pravdepodobne zneužíva tieto zraniteľnosti ako súčasť reťazca útokov. Podľa spoločnosti Microsoft útok spočíva v 3 krokoch a to: získanie prístupu na server odcudzením prihlasovacích údajov, alebo zneužitím niektorej zo zraniteľností, následne nasadenie web shellu pre ovládanie cieľového servera a následné odcudzenie údajov cieľových organizácií.

Dôsledky

  • Odcudzenie citlivých údajov
  • Kompromitácia emailového serveru

Opis činnosti
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, CVE-2021-26412, CVE-2021-26854, CVE-2021-27078

Aktívne zneužívané zraniteľnosti:

CVE-2021-26855 (CVSS 9.1)

Kritická aktívne zneužívaná zraniteľnosť SSRF (Server Side Request Forgery – Falšovanie požiadaviek na strane servera, kedy útočník môže naviesť zraniteľnú aplikáciu na serveri, aby sa napríklad server pripojil sám k sebe, či iným webovým službám v rámci infraštruktúry organizácie, alebo k externým systémom tretích strán).

Neoverený vzdialený útočník by mohol túto zraniteľnosť zneužiť poslaním špeciálne vytvorenej http požiadavky na zraniteľný server Microsoft Exchange. Aby bolo možné chybu zneužiť, útočník musí poznať IP adresu alebo úplný názov domény (FQDN) servera Exchange a emailový účet, na ktorý chce podniknúť útok. Zraniteľný server musí byť schopný prijímať nedôveryhodné pripojenia na porte 443. Úspešné zneužitie zraniteľnosti by umožnilo útočníkovi vzdialene vykonať ľubovoľný kód (RCE), čo môže mať za následok autentifikáciu na serveri Microsoft Exchange a následné odcudzenie obsahu emailových schránok obetí.

CVE-2021-26857 (CVSS 7.8)

Je aktívne zneužívaná zraniteľnosť spôsobená nezabezpečením deserializácie na serveri Microsoft Exchange. Chyba sa nachádza v službe Exchange Unified Messaging Service. Aby útočník mohol zneužiť túto zraniteľnosť, musel by sa overiť na zraniteľnom serveri oprávneniami správcu, alebo túto zraniteľnosť využiť v kombinácii s ďalšími zraniteľnosťami.

Úspešné zneužitie zraniteľnosti by umožňovalo útočníkovi vykonávať kód so systémovými oprávneniami.

CVE-2021-26858 a CVE-2021-27065 (CVSS 7.8)

Sú aktívne zneužívané chyby zabezpečenia umožňujúce ľubovoľný zápis do súboru na serveri Microsoft Exchange. Tieto zraniteľnosti sú zneužiteľné po autentifikácii, čo by útočník mohol dosiahnuť v kombinácii so zraniteľnosťou CVE-2021-26855, alebo odcudzením prihlasovacích údajov správcu servera. Úspešné zneužitie zraniteľnosti by útočníkovi umožnilo ľubovoľne zapisovať do súborov zraniteľného serveru Microsoft Exchange.

Spoločnosť Microsoft uviedla, že sa útočníci snažia nasadzovať podvrhnuté webové rozhrania (web shell) za účelom ukradnutia prístupových údajov správcov a odcudzenia obsahu emailových schránok používateľov.

Zraniteľnosti, ktoré neboli pozorované ako aktívne zneužívané a boli označené spoločnosťou Microsoft ako menej pravdepodobné na zneužitie:

CVE-2021-26412 (CVSS 9.1)

Zraniteľnosť umožňujúca vzdialené eskalovanie privilégií. Technické detaily ani postup útoku nebol zverejnený.

CVE-2021-26854 (CVSS 6.6), CVE-2021-27078 (CVSS 9.1)

Zraniteľnosti vzdialeného vykonania kódu (RCE). Technické detaily ani postup útoku neboli zverejnené.

Indikátory kompromitácie a ďalšie užitočné informácie ohľadom útokov skupiny Hafnium nájdete tu.

Zraniteľné systémy

  • Microsoft Exchange server 2013 –Oprava zatiaľ dostupná pre : 2013 CU 23 (KB5000871)
  • Microsoft Exchange server 2016 –Oprava zatiaľ dostupná pre : 2016 CU 19 CU 18 (KB5000871)
  • Microsoft Exchange server 2019 –Oprava zatiaľ dostupná pre : CU 8 CU 7 (KB5000871)

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik citlivých informácií
Nedostupnosť služby

Odporúčania
Odporúčame bezodkladnú aktualizáciu serveru Microsoft Exchange

Odkazy
https://isc.sans.edu/diary/27164
https://www.tenable.com/blog/cve-2021-26855-cve-2021-26857-cve-2021-26858-cve-2021-27065-four-microsoft-exchange-server-zero-day-vulnerabilities
https://www.darkreading.com/threat-intelligence/microsoft-fixes-exchange-server-zero-days-exploited-in-active-attacks/d/d-id/1340305