logoHCC

Ranljivosti Microsoft Exchange strežnikov

Deli:

Share on facebook
Share on twitter
Share on linkedin
HC CENTER - ranljivosti Microsoft Exchange

 

Microsoft Exchange strežniki predstavljajo visoko vrednost za napadalce, ki želijo prodreti v poslovna omrežja, saj zagotavljajo edinstveno okolje za izvajanje različnih skript in orodij, ki jih skrbniki uporabljajo za vzdrževanje.

Kdo stoji za napadi?

Val kibernetskih napadov se je začel januarja 2021, ko so bile odkrite ranljivosti Microsoft Exchange strežnikov, ki napadalcem omogočajo namestitev škodljive programske opreme ter popoln dostop do elektronskih poštnih predalov in gesel. Več podjetij je objavilo poročila o izkoriščanju ranljivosti. 

Microsoft je za napad obtožil Hafnium (kitajska državno financirana hekerska skupina, ki deluje znotraj Kitajske). Hafnium je v preteklosti večinoma ciljal na pravne subjekte v ZDA z namenom pridobivanja informacij iz industrijskih subjektov, vključno z nevladnimi organizacijami, laboratoriji za nalezljive bolezni, odvetniškimi pisarnami in različnimi obrambnimi izvajalci. Kitajska vlada je vsa sodelovanja zanikala. Microsoft je v zadnjih 12 mesecih že osmič javno obtožil države za vpletenost v napade.

12. marca je bilo poleg Hafniuma še najmanj devet skupin, ki so izkoriščale ranljivost, vsaka z različnimi postopki in slogi.

 

V številkah in procentih:

Po ocenah je bilo, 9.marca 2021, 250.000 strežnikov žrtev napadov, vključno z strežniki, ki pripadajo približno 30.000 organizacijam v ZDA, 7000 v Združenem kraljestvu, evropskim bančnim organom, norveškemu parlamentu in čilski komisiji za finančni trg. Država z največjim številom napadov je ZDA s 17%, sledi ji Nemčija s 6%, Združeno Kraljestvo ter Nizozemska s 5% in Rusija s 4%. Najbolj izkoriščena sektorja pa sta vlada in vojska s 23%, sledijo ji bančne in finančne storitve s 14%, prodajalci programske opreme s 7% in zdravstvo s 6%.

Metodologija, ki jo uporabljajo napadalci

Napadalci so izkoristili 4 ranljivosti s katerimi so si omogočili dostop do strežnikov in omrežij:

  •       CVE-2021-26855 Ponarejanje strežniške zahteve (SSRF -server-site request forgery) omogoča napadalcu, da brez avtorizacije opravlja poizvedbe po strežniku. Te poizvedbe nato strežnik pošlje na drugo destinacijo.
  •        CVE-2021-26857 Potencialno omogoči napadalcu da izvede poljubno kodo (RCE).
  •     CVE-2021-26858 in CVE-2021-27065 Napadalcu omogoča, da lahko katerokoli datoteko v sistemu prepiše z lastnimi podatki.

Med prijavljenimi napadi je v večini primerov prišlo do prenosa e-poštnih sporočil iz strežnika, spreminjanja gesel, dodajanja poštnih naslovov in namestitev izkoriščevalske programske opreme.

Najbolj ranljive verzije poštnih strežnikov

  •     Exchange Server 2010
  •        Exchange Server 2013
  •        Exchange Server 2016
  •        Exchange Server 2019
 

2. in 11. marca je Microsoft izdal popravke za Exchange strežnik 2010, 2013, 2016 in 2019. V primeru, da je bil strežnik že napaden, te posodobitve niso učinkovite. Možnost namestitev popravkov je mogoča samo na verzijah Exchange strežnikov z nameščenimi CU (cumulative updates) in sicer:

  •        Exchange server 2010 z nameščenim SP3
  •        Exchange server 2013 z nameščenim CU 23
  •        Exchange server 2016 z nameščenim CU 18 ali CU 19
  •     Exchange server z nameščenim CU7 ali CU 8

 

Obstajajo tudi preventivni ukrepi…

… ter ukrepi po odkritju zlorabe

  •      Ponastavitev vseh administratorskih in uporabniških gesel
  •          Restavriranje celotnega strežnika 
 
 

Vlaganje v IT infrastrukturo je ključnega pomena za ohranjanje varnosti IT okolja v podjetjih, tako z vidika strojne kot programske opreme. Z vidika programske opreme je pomembna tudi redna posodobitev, predvsem pa vlaganje v dobro zaščito sistemov z različnimi programi (F-secure email security in F-secure protivirusni program), ter programsko opremo za izvajanje varnostnih kopij (Acronis in Veeam backup). 

V primeru nadaljnih vprašanj nas lahko kontaktirate, mi pa vam z veseljem priskočimo na pomoč.