Ancaman yang Muncul - Eksploitasi Massal Kerentanan Server Exchange (2010-2019)

Pada 2 Maret 2021, Microsoft meluncurkan pembaruan darurat untuk mengatasi 4 kerentanan kritis di Exchange Server 2010, 2013, 2016, dan 2019.



Tim Insiden dan Forensik kami secara aktif terlibat dalam menyelidiki insiden yang diakibatkan dari ancaman baru ini. Kami telah mengamati bahwa kerentanan ini secara jahat digunakan untuk mendapatkan akses jarak jauh ke server Exchange dan kemudian membongkar data sensitif, termasuk seluruh kotak surat.



Harap diingat bahwa penyerang kemungkinan besar menggunakan akses jarak jauh ke Exchange untuk kemudian beralih ke sistem yang lebih kritis, seperti pengontrol domain.



Microsoft telah melaporkan grup yang diduga disponsori negara China, HAFNIUM, mengeksploitasi kerentanan ini. Menurut Microsoft , Exchange Online tidak terpengaruh oleh kerentanan yang sama.

Deskripsi kerentanan

Secara total, empat CVE dieksploitasi selama serangan:

• CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server Exchange (SSRF) yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi diri mereka sendiri atas nama server Exchange tertentu
• CVE-2021-26857 - digunakan untuk meningkatkan hak istimewa - eskalasi hak istimewa, untuk mendapatkan hak istimewa dari akun sistem di server: SYSTEM
• CVE-2021-26858 dan CVE-2021-27065 digunakan untuk menulis file ke folder sembarang (apa saja) di server.

Tim penyerang mengikat eksploitasi kerentanan ini bersama-sama untuk melakukan serangan yang efektif. Anda juga dapat melihat analisis operasi ini dari Veloxity .

Bagaimana serangan itu terjadi

1. Penyerang menemukan server Exchange yang rentan dengan port HTTP 443 terbuka
2. Mengeksploitasi kerentanan SSRF (yang pertama dari yang dijelaskan di atas) untuk mendapatkan akses yang diperlukan dan otentikasi atas nama server Exchange ini
3. (SYSTEM), , , (, ProcDump)
4. Exchange / ,
5. , , «»
6. WebShell, .

• , Exchange, , . , Microsoft : Cumulative Update Security Update.
• Microsoft PowerShell , , ASPX(.aspx)
• (Kevin Beaumont) « » nmap
• - Varonis DatAlert :
  
  
  
  
  • , Exchange;
  • Web, , , DNS ( SWG [web-proxy] DNS Edge);
  • , «» Exchange;
  • , , ( , – Data Classification Engine).

NB Jika Anda memerlukan bantuan APA PUN, silakan hubungi tim Varonis Rusia atau hubungi Departemen Investigasi Insiden secara langsung melalui halaman khusus di situs web kami dan kami akan melakukan yang terbaik dan kami dapat memastikan bahwa Anda aman, bahkan jika perusahaan Anda tidak seorang pelanggan dari Varonis.