Uzbrukumi, kas vērsti pret Microsoft Exchange serveriem

Informācija papildināta 14.04.2021

Otrdien, 13.aprīlī, Microsoft publicējis atjauninājumus, kas novērš četras jaunas un kritiskas ievainojamības (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483), kas skar Microsoft Exchange serverus. Skartas MS Exchange versijas no 2013 līdz 2019. Visas četras ievainojamības sniedz ļaundariem iespēju veikt attālinātā koda izpildi. Kaut arī pagaidām Microsoft rīcībā nav informācijas, ka ievainojamības būtu tikušas izmantotas reālos uzbrukumos, CERT.LV aicina lieki nekavēties un uzstādīt piedāvātos atjauninājumus. 

Papildu informācija:

https://support.microsoft.com/lv-lv/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064

https://www.bleepingcomputer.com/news/security/nsa-discovers-critical-exchange-server-vulnerabilities-patch-now/

Informācija papildināta 16.03.2021

CERT.LV ir konstatējusi veiksmīgus uzbrukumus Microsoft (MS) Exchange serveriem Latvijā, kas veikti vairākas dienas pirms Microsoft publicēja atjauninājumus ievainojamību CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 novēršanai. Ietekmētas ir visas aktuālās, lokālās (on-premises) MS Exchange versijas. Uzbrukums vērsts pret tīmekļa komponenti (OWA un ECP). Atsevišķos gadījumos kompromitēšana notikusi nepilnu stundu pirms atjauninājumu uzstādīšanas.

Ņemot vērā augsto uzbrucēju aktivitāti, CERT.LV aicina iestādes un uzņēmumus veikt savu MS Exchange serveru pārbaudi. Uz 2021. gada 15. martu CERT.LV ir konstatējusi ļaunatūras klātbūtni vismaz desmit MS Exchange serveros valsts sektorā, taču paredzamais upuru skaits valstī kopumā varētu pārsniegt 150 organizācijas.

Veiksmīga uzbrukuma gadījumā pastāv risks, ka uzbrucēji ne vien iegūst darbinieku e-pastu piekļuves datus, piekļuvi e-pastu sarakstēm un adrešu grāmatiņai, bet var arī iet soli tālāk un veikt darbības, kas var kompromitēt visu uzņēmuma tīkla infrastruktūru. Atsevišķos gadījumos kompromitētajā infrastruktūrā novērota arī šifrējošā izspiedējvīrusa klātbūtne, kas var paralizēt visa uzņēmuma vai iestādes darbību.

CERT.LV aicina uzskatīt visus MS Exchange serverus par kompromitētiem, līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais. Pārbaužu veikšanai CERT.LV iesaka izmantot sekojošus rīkus:

1. Microsoft risinājums: https://github.com/microsoft/CSS-Exchange/tree/main/Security
2. CERT.LV sākotnēji piedāvātā risinājuma vietā šobrīd aicinām izmantot Microsoft rīku (saite augstāk), kas ir ar vēl plašāku funkcionalitāti un uzlabojumiem.

CERT.LV uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja atjauninājumi tika uzstādīti, tiklīdz tie bija pieejami.

CERT.LV aicina visus uzņēmumus un iestādes, kas izmanto MS Exchange e-pasta serverus, pret aplūkotajiem riskiem attiekties nopietni un veikt nepieciešamās pārbaudes. Ja uzņēmumam trūkst kapacitātes vai zināšanu minēto darbību veikšanai – iesakām apsvērt iespējas piesaistīt speciālistus ārpakalpojumā.

Valsts un pašvaldību iestādes kompromitēta servera gadījumā CERT.LV aicina:

1. par to informēt CERT.LV;
2. nosūtīt uz cert identificēto ļaunatūru, tiklīdz tā ir pamanīta, pat ja informācija sākotnēji ir nepilnīga;
3. efektīvāka CERT.LV atbalsta saņemšanai pēc iespējas agrāk izveidot atmiņas attēlu (memory dump), ieteicamais rīks: https://github.com/Velocidex/WinPmem/releases/tag/v4.0.rc1

Jautājumu vai neskaidrību gadījumā aicinām sazināties, rakstot uz cert

Microsoft ārpus kārtas publicētie atjauninājumi:

• https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Papildu informācija:

• https://media.cert.europa.eu/static/SecurityAdvisories/2021/CERT-EU-SA2021-013.pdf
• https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
• https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
• https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/