ESET research into exploitation of Microsoft Exchange fleaks – Week in security with Tony Anscombe
Шумиха вокруг кибербезопасности продолжается на этой неделе вокруг недавно раскрытых уязвимостей нулевого дня в Microsoft Exchange Server, и исследователи ESET обнаружили, что недостатки безопасности используются по крайней мере 10 различными группами APT. В другом исследовании эксперты ESET выпустили Белую книгу, в которой подробно описываются уязвимости, влияющие на две секс-игрушки, подключенные к интернету, и сопровождающие их приложения. Также на этой неделе исследователь ESET Кэмерон Кэмп поделился своим личным опытом с e-health и последствиями своего отказа поделиться своими очень личными данными с поставщиком медицинских услуг через их веб-сайт.
Серверы Exchange находятся в осаде как минимум 10 групп APT
ESET Research обнаружило, что LuckyMouse, Tick, Winnti Group и Calypso, среди прочих, вероятно, используют недавние уязвимости Microsoft Exchange для взлома почтовых серверов по всему миру.
2 марта 2021 года Microsoft выпустила внеполосные исправления для Microsoft Exchange Server 2013, 2016 и 2019. Эти обновления безопасности устранили цепочку уязвимостей удаленного выполнения кода (RCE) перед проверкой подлинности (CVE-2021-26855, CVE- 2021-26857, CVE-2021-26858 и CVE-2021-27065), что позволяет злоумышленнику захватить любой доступный сервер Exchange, даже не зная каких-либо действительных учетных данных. На момент написания мы уже обнаружили веб-оболочки на более чем 5000 почтовых серверах, и, согласно общедоступным источникам, от этой атаки пострадали несколько важных организаций, таких как European Banking Authority .
Эти уязвимости были впервые обнаружены Orange Tsai , известным исследователем уязвимостей, который сообщил о них в Microsoft 5 января 2021 года. Однако, согласно сообщению в блоге Volexity, эксплуатация в дикой природе уже началась 3 января 2021 года. Таким образом, если эти даты верны, уязвимости были либо независимо обнаружены двумя разными группами исследователей уязвимостей, либо информация об уязвимостях каким-то образом была получена злоумышленником. Microsoft также опубликовала в блоге сообщение о ранней активности Hafnium.
28 февраля 2021 года мы заметили, что уязвимости использовались другими злоумышленниками, начиная с Tick, к которым быстро присоединились LuckyMouse, Calypso и Winnti Group. Это говорит о том, что несколько злоумышленников получили доступ к деталям уязвимостей до выпуска исправления, что означает, что мы можем исключить возможность того, что они создали эксплойт путем обратного проектирования обновлений Microsoft.
Наконец, на следующий день после выпуска патча мы начали видеть, как многие другие злоумышленники (включая Tonto Team и Mikroceen) массово сканируют и компрометируют серверы Exchange. Интересно, что все они являются APT-группами, заинтересованными в шпионаже, за исключением одного выброса (DLTMiner), который связан с известной кампанией по майнингу криптовалют.
В течение последних нескольких дней исследователи ESET внимательно следили за количеством обнаружений веб-оболочки для этих эксплойтов. На момент публикации мы наблюдали более 5000 уникальных серверов в более чем 115 странах, где были отмечены веб-оболочки. Эти номера используют телеметрию ESET и (очевидно) не являются полными.
Материал подготовлен -
ESET NOD32
Ваши контактные данные не публикуются на сайте.