Microsoft Exchange strežniki predstavljajo visoko vrednost za napadalce, ki želijo prodreti v poslovna omrežja, saj zagotavljajo edinstveno okolje za izvajanje različnih skript in orodij, ki jih skrbniki uporabljajo za vzdrževanje.
Kdo stoji za napadi?
Val kibernetskih napadov se je začel januarja 2021, ko so bile odkrite ranljivosti Microsoft Exchange strežnikov, ki napadalcem omogočajo namestitev škodljive programske opreme ter popoln dostop do elektronskih poštnih predalov in gesel. Več podjetij je objavilo poročila o izkoriščanju ranljivosti.
Microsoft je za napad obtožil Hafnium (kitajska državno financirana hekerska skupina, ki deluje znotraj Kitajske). Hafnium je v preteklosti večinoma ciljal na pravne subjekte v ZDA z namenom pridobivanja informacij iz industrijskih subjektov, vključno z nevladnimi organizacijami, laboratoriji za nalezljive bolezni, odvetniškimi pisarnami in različnimi obrambnimi izvajalci. Kitajska vlada je vsa sodelovanja zanikala. Microsoft je v zadnjih 12 mesecih že osmič javno obtožil države za vpletenost v napade.
12. marca je bilo poleg Hafniuma še najmanj devet skupin, ki so izkoriščale ranljivost, vsaka z različnimi postopki in slogi.
V številkah in procentih:
Po ocenah je bilo, 9.marca 2021, 250.000 strežnikov žrtev napadov, vključno z strežniki, ki pripadajo približno 30.000 organizacijam v ZDA, 7000 v Združenem kraljestvu, evropskim bančnim organom, norveškemu parlamentu in čilski komisiji za finančni trg. Država z največjim številom napadov je ZDA s 17%, sledi ji Nemčija s 6%, Združeno Kraljestvo ter Nizozemska s 5% in Rusija s 4%. Najbolj izkoriščena sektorja pa sta vlada in vojska s 23%, sledijo ji bančne in finančne storitve s 14%, prodajalci programske opreme s 7% in zdravstvo s 6%.
Metodologija, ki jo uporabljajo napadalci
Napadalci so izkoristili 4 ranljivosti s katerimi so si omogočili dostop do strežnikov in omrežij:
- CVE-2021-26855 Ponarejanje strežniške zahteve (SSRF -server-site request forgery) omogoča napadalcu, da brez avtorizacije opravlja poizvedbe po strežniku. Te poizvedbe nato strežnik pošlje na drugo destinacijo.
- CVE-2021-26857 Potencialno omogoči napadalcu da izvede poljubno kodo (RCE).
- CVE-2021-26858 in CVE-2021-27065 Napadalcu omogoča, da lahko katerokoli datoteko v sistemu prepiše z lastnimi podatki.
Med prijavljenimi napadi je v večini primerov prišlo do prenosa e-poštnih sporočil iz strežnika, spreminjanja gesel, dodajanja poštnih naslovov in namestitev izkoriščevalske programske opreme.
Najbolj ranljive verzije poštnih strežnikov
- Exchange Server 2010
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
2. in 11. marca je Microsoft izdal popravke za Exchange strežnik 2010, 2013, 2016 in 2019. V primeru, da je bil strežnik že napaden, te posodobitve niso učinkovite. Možnost namestitev popravkov je mogoča samo na verzijah Exchange strežnikov z nameščenimi CU (cumulative updates) in sicer:
- Exchange server 2010 z nameščenim SP3
- Exchange server 2013 z nameščenim CU 23
- Exchange server 2016 z nameščenim CU 18 ali CU 19
- Exchange server z nameščenim CU7 ali CU 8
Obstajajo tudi preventivni ukrepi…
- Namestitev posodobitev in popravkov za Exchange strežnik https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901. Na Exchange strežnike je potrebno redno nameščati posodobitve, ki so objavljene s strani Microsofta
- Pregled strežnika za morebitne zlorabe z skriptami in zagon Microsoft Safety Scanner-ja
… ter ukrepi po odkritju zlorabe
- Ponastavitev vseh administratorskih in uporabniških gesel
- Restavriranje celotnega strežnika
Vlaganje v IT infrastrukturo je ključnega pomena za ohranjanje varnosti IT okolja v podjetjih, tako z vidika strojne kot programske opreme. Z vidika programske opreme je pomembna tudi redna posodobitev, predvsem pa vlaganje v dobro zaščito sistemov z različnimi programi (F-secure email security in F-secure protivirusni program), ter programsko opremo za izvajanje varnostnih kopij (Acronis in Veeam backup).
V primeru nadaljnih vprašanj nas lahko kontaktirate, mi pa vam z veseljem priskočimo na pomoč.
