Обнаружено несколько APT-атак с поддержкой состояния, использующих недавно исправленную уязвимость Microsoft для целевых серверов Exchange.
APT это сокращение от Advanced Persistent Threat, то есть сложная постоянная угроза. Рассматривать APT можно с двух сторон: это и сама атака, и это люди, стоящие за ней. С одной стороны, сложная постоянная угроза (APT) является высокоточной кибератакой. С другой стороны, APT можно назвать группу, спонсируемую государством либо иным покровителем, оплачивающим целевую атаку.
Рассматриваемая уязвимость CVE-2020-0688 почтовых серверов Exchange была обнаружена анонимным исследователем безопасности и сообщена Microsoft через инициативу Trend Micro Zero Day Initiative (ZDI). Эта "дыра" было исправлена в февральском обновлении (патче) Майкрософт, но взломы обнаружила Volexity примерно через две недели, когда хакеры стали активно использовать эту уязвимость.
Ошибка обнаружена в компоненте панели управления Exchange (ECP) и является следствием невозможности со стороны Exchange Server создать должным образом уникальные криптографические ключи во время установки. Сообщение ошибки: “Exchange Server failing to properly create unique cryptographic keys at the time of installation”.
Метод взлома работает в непропатченных системах, но только в том случае, если интерфейс ECP доступен злоумышленнику и если у него есть действующие учетные данные для доступа к ECP.
«В некоторых случаях злоумышленники, похоже, ждали возможности нанести удар с помощью похищенных учетных данных, которые в противном случае были бесполезны. Многие организации используют двухфакторную аутентификацию (2FA) для защиты своих VPN, электронной почты и т. д. Ограничивая возможности злоумышленника с использованием скомпрометированного пароля », - пояснил в Volexity.
«Эта уязвимость дает злоумышленникам возможность получить доступ к значительным активам ИТ-инфраструктуры в организации с помощью простых учетных данных пользователя или старой учетной записи службы. Эта проблема также подчеркивает, почему периодическая смена паролей является хорошей практикой, независимо от мер безопасности, таких как 2FA ».
До сих пор фирма наблюдала, как злоумышленники использовали ошибку для запуска системных команд для проведения рекогносцировки, развертывания бэкдора веб-оболочки, доступного через OWA, и запуска в памяти эксплоит-фреймворков.
Хакеры также пытались получить доступ к системе через веб-службы Exchange (EWS).
В то время как потребность в наличии скомпрометированных учетных данных для начала атаки отпугнет многих хакеров-новичков, более мотивированные хакеры, несомненно, будут представлять угрозу для организаций, которые еще не исправили уязвимости в своих почтовых серверах Microsoft Exchange при помощи февральского патча, заключил в Volexity.
