6 марта 2021 года Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
В настоящее время только 10 % от работающих систем пропатчено от этих четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA).
Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:
- Exchange Server 2019 < 15.02.0792.010;
- Exchange Server 2019 < 15.02.0721.013;
- Exchange Server 2016 < 15.01.2106.013;
- Exchange Server 2013 < 15.00.1497.012.
Команда разработчиков DEVCORE, специалисты которой первыми обнаружили проблемы, запустила информационный портал об уязвимости ProxyLogon, которой в итоге оказались подвержены сотни тысяч серверов Exchange по всему миру.
В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании.
Скрипт для автоматической проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows. Ранее были доступны отдельные команды для понимания проблемы.
Microsoft выложила скрипт под названием "Test-ProxyLogon.ps1" в свой репозиторий на GitHub. С его помощью можно автоматизировать проверку почтового сервера на взлом.
Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell:
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:
.\Test-ProxyLogon.ps1.Вдобавок Microsoft опубликовала еще один скрипт — "BackendCookieMitigation.ps1", который отфильтровывает https-запросы, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана.
Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом. Дополнительные сведения см. В комментариях вверху сценария.
Пример использования уязвимостей связки ProxyLogon на серверах Exchange.
«В России атаковано уже около 40 компаний. Данные уязвимости позволяют злоумышленникам получить доступ к любым почтовым аккаунтам на Microsoft Exchange Server, а также установить на нём вредоносное программное обеспечение, чтобы закрепиться на уязвимой машине или в дальнейшем в сети», — сказано в заявлении «Лаборатории Касперского» изданию «Интерфакс».
Национальный координационный центр по компьютерным инцидентам России (НКЦКИ, создан ФСБ) выпустил специальные рекомендации для руководителей и владельцев объектов критической информационной инфраструктуры РФ о необходимости незамедлительного обновления обновить Microsoft Exchange Server.
2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных.
3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server.
5 марта Reuters сообщило, что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server.
