Компания Microsoft призывает пользователей как можно скорее установить экстренные исправления для защиты от атак высококвалифицированных хакеров, активно использующих четыре уязвимости нулевого дня в Exchange Server.

Microsoft утверждает, что связанные с правительством Китая хакеры использовали ранее неизвестные эксплоиты для взлома локального полностью обновлённого программного обеспечения Exchange Server. Microsoft называет эту группу хакеров Hafnium. В данный момент нет свидетельств того, что эти уязвимости применяются другими группами. При этом компания заявляет, что это может измениться.

«Несмотря на то, что мы оперативно выпустили обновления для эксплоитов Hafnium, многие представители государств и преступные группы быстро начинают пользоваться любыми незащищёнными системами», пишет корпоративный вице-президент Microsoft по безопасности и доверию Том Бёрт. «Лучшей защитой от атак является установка выпущенных патчей».

Бёрт не назвал целей хакеров. Сказано лишь, что это использующие Exchange Server компании. Злоумышленники стремятся украсть данные американских исследователей инфекционных заболеваний, юридических компаний, ВУЗов, подрядчиков в сфере обороны, аналитических центров и неправительственных учреждений.

Бёрт добавляет, что у Microsoft нет информации об отдельных пользователях, ставших мишенью этих атак, или о том, что эксплоиты затронули другие продукты Microsoft. По его словам, атаки не связаны с SolarWinds, которые взломали как минимум девять правительственных утверждений США и около 100 частных компаний.

Уязвимости нулевого дня присутствуют в Microsoft Exchange Server 2013, 2016 и 2019.

• CVE-2021-26855, уязвимость подделки запросов на стороне сервера (SSRF), которая позволяла злоумышленникам отправлять произвольные HTTP-запросы и проходить авторизацию в качестве сервера Exchange.
• CVE-2021-26857, уязвимость небезопасной десериализации в службе единой системы обмена сообщениями. Небезопасная десериализация означает, что программа десериализует ненадёжные контролируемые пользователем данные. Использование этой уязвимости дало Hafnium возможность запускать код как SYSTEM на сервере Exchange. Для этого требуется разрешение администратора или другая уязвимость.
• CVE-2021-26858, уязвимость записи произвольного файла после аутентификации. Если Hafnium сможет пройти аутентификацию на сервере Exchange, то сможет использовать эту уязвимость для записи файла по любому адресу на сервере. Группа может пройти аутентификацию, используя уязвимость SSRF CVE-2021-26855 или получив учётные данные администратора.

Для атаки выполнялись следующие действия:

1. Требуется получить доступ к серверу Exchange либо с помощью украденных паролей, либо через уязвимости нулевого дня, чтобы замаскировать хакеров под персонал.

2. Необходимо создать веб-оболочку для удалённого управления скомпрометированным сервером.

3. Удалённый доступ используется для кражи информации из сети.

Хакеры работали с арендованных виртуальных частных серверов в США. Фирма информационной безопасности Volexity заявила, что атаки проводились как минимум с 6 января.

«В то время как злоумышленники поначалу вели свою деятельность при помощи простой кражи электронных писем, недавно они начали использовать эксплоиты», пишет исследователи из Volexity. «С наши точки зрения, задействованы несколько операторов с широким спектром инструментов и методов для получения учётных данных».

Кроме Volexity, фирма Dubex также предоставила Microsoft информацию об атаках и помогла в расследовании. Компании, использующие уязвимую версию Exchange Server, должны как можно скорее поставить обновления.