Множественные APT-атаки на серверы Exchange с неисправленной уязвимостью

Множественные APT-атаки на серверы Exchange с неисправленной уязвимостью
Андрей Васенин

Андрей Васенин

Автор статьи. Сфера интересов: ИТ-специалист (программирование, администрирование, DBA). Кандидат экономических наук. Подробнее .

Обнаружено несколько APT-атак с поддержкой состояния, использующих недавно исправленную уязвимость Microsoft для целевых серверов Exchange.

APT это сокращение от Advanced Persistent Threat, то есть сложная постоянная угроза. Рассматривать APT можно с двух сторон: это и сама атака, и это люди, стоящие за ней. С одной стороны, сложная постоянная угроза (APT) является высокоточной кибератакой. С другой стороны, APT можно назвать группу, спонсируемую государством либо иным покровителем, оплачивающим целевую атаку.

Рассматриваемая уязвимость CVE-2020-0688 почтовых серверов Exchange была обнаружена анонимным исследователем безопасности и сообщена Microsoft через инициативу Trend Micro Zero Day Initiative (ZDI). Эта "дыра" было исправлена в февральском обновлении (патче) Майкрософт, но взломы обнаружила Volexity примерно через две недели, когда хакеры стали активно использовать эту уязвимость.

Ошибка обнаружена в компоненте панели управления Exchange (ECP) и является следствием  невозможности со стороны Exchange Server создать должным образом уникальные криптографические ключи во время установки. Сообщение ошибки: “Exchange Server failing to properly create unique cryptographic keys at the time of installation”.

Метод взлома работает в непропатченных системах, но только в том случае, если интерфейс ECP доступен злоумышленнику и если у него есть действующие учетные данные для доступа к ECP.

«В некоторых случаях злоумышленники, похоже, ждали возможности нанести удар с помощью похищенных учетных данных, которые в противном случае были бесполезны. Многие организации используют двухфакторную аутентификацию (2FA) для защиты своих VPN, электронной почты и т. д. Ограничивая возможности злоумышленника с использованием скомпрометированного пароля », - пояснил в Volexity.

«Эта уязвимость дает злоумышленникам возможность получить доступ к значительным активам ИТ-инфраструктуры в организации с помощью простых учетных данных пользователя или старой учетной записи службы. Эта проблема также подчеркивает, почему периодическая смена паролей является хорошей практикой, независимо от мер безопасности, таких как 2FA ».

До сих пор фирма наблюдала, как злоумышленники использовали ошибку для запуска системных команд для проведения рекогносцировки, развертывания бэкдора веб-оболочки, доступного через OWA, и запуска в памяти эксплоит-фреймворков.

Хакеры также пытались получить доступ к системе через веб-службы Exchange (EWS).

В то время как потребность в наличии скомпрометированных учетных данных для начала атаки отпугнет многих хакеров-новичков, более мотивированные хакеры, несомненно, будут представлять угрозу для организаций, которые еще не исправили уязвимости в своих почтовых серверах Microsoft Exchange при помощи февральского патча, заключил в Volexity.

Вас заинтересует / Intresting for you:

Риски и угрозы в кибербезопасн...
Риски и угрозы в кибербезопасн... 1918 просмотров Aaltonen Thu, 05 Aug 2021, 17:29:35
Экс-генеральный инспектор США ...
Экс-генеральный инспектор США ... 1066 просмотров Андрей Васенин Mon, 09 Mar 2020, 12:54:51
Антивирусное ПО по-прежнему ак...
Антивирусное ПО по-прежнему ак... 1779 просмотров Андрей Васенин Thu, 28 Jan 2021, 18:02:31
Гендерная дискриминация женщин...
Гендерная дискриминация женщин... 1391 просмотров Андрей Васенин Mon, 09 Mar 2020, 13:51:44
Войдите чтобы комментировать