Manja slova Veća slova RSS
>

Otkrivene nove kritične ranjivosti Microsoft Exchange servera. Ažurirajte Exchange servere!

Datum objave: 11.03.2021 12:47 | Autor: CIRT

Ispis Štampaj stranicu


Exchange 2013, Exchange 2016 i Exchange 2019 imaju ranjivosti koje omogućavaju napadačima da instaliraju dodatne alate koji omogućavaju dugoročan pristup okruženju žrtve. Ovi 0-day exploiti korišćeni su kao dio lanca napada na on-premise verzije Exchange servera u nekoliko ciljanih kampanja. Exchange Online nije ugrožen. U napadima koji su do sad otkriveni, napadači su koristili ove ranjivosti da pristupe on-premise Exchange serverima, što je omogućilo pristup email nalozima i instaliranje dodatnog malvera.

Da bi napad bio uspješan, napadač prvo mora da identifikuje on-premise Microsoft Exchange Server koji može da primi neprovjerene konekcije sa eksternog izvora na portu 443. Ako napadač uspije da uspostavi konekciju, može da eksploatiše CVE-2021-26855 i da se autentifikuje kao Microsoft Exchange server. Nakon toga može da eksploatiše CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065, što omogućava napadaču da stekne remote pristup. Kada dobiju inicijalni pristup, napadači primjenjuju webshell na kompromitovanom serveru. Webshell zatim omogućava napadaču da ukrade podatke i izvrši dodatne maliciozne akcije, kao što je preuzimanje fajlova sa udaljene lokacije ili skeniranje mreže.
Kada se primijeni webshell, napadači koriste Procdump da kopiraju LSASS procesnu memoriju kako bi došli do kredencijala.

Kada izvuku kredencijale i podatke iz kompromitovanog sistema, napadači koriste alate za kompresiju, kao što su 7zip ili Winrar da kompresuju ukradene podatke prije slanja.
Microsoft je objavio da bi se ranjivosti zakrpile, potrebno hitno ažuriranje, koje možete pronaći na adresi: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Preporučuje se da se što prije ažuriraju svi Microsoft Exchange serveri na najnovije dostupne verzije.