Posted: 12 May. 2021 5 min. read

Nýlega brutust hakkarar inn í póstþjón Microsoft

Hvað gerðist og hvernig er hægt að bregðast við?

Nýlega birtust upplýsingar opinberlega um að hakkarahópur væri að nýta sér áður óþekkta veikleika í Microsoft Exchange póstþjónum sem fyrirtæki reka sjálf eða í gegnum þjónustuaðila, það er ekki Office 365.

Veikleikarnir voru til staðar í Microsoft Exchange útgáfum 2013, 2016 og 2019 og eru eftirfarandi:

  • CVE-2021-26855 - a server-side request forgery (SSRF) vulnerability in Exchange
  • CVE-2021-26857 - an insecure deserialization vulnerability in the Unified Messaging service
  • CVE-2021-26858 - a post-authentication arbitrary file write vulnerability in Exchange
  • CVE-2021-27065 - also a post-authentication arbitrary file write vulnerability in Exchange

Þessir veikleikar gerðu það að verkum að hakkarahópurinn gat búið til bakdyr inn á póstþjón sem hægt er að nota til að ná stjórn á póstþjóninum og komast þannig í viðkvæm gögn fyrirtækja, jafnvel komast yfir notendaaðganga.

Í kjölfar þess að upplýsingarnar um Microsoft voru opinberaðar fóru fleiri hakkarahópar að nýta sér sömu veikleika til að ná stjórn á póstþjónum fyrirtækja. Í dag eru að lágmarki 10 virkir hópar að reyna að notast við veikleikana. 

 

Hvers vegna?

Markmið hakkarahópa með þessum árásum eru misjöfn. Hingað til hafa verið greind atvik sem innihalda t.d.:

  • Afritun á gögnum úr tölvupósthólfum notenda út úr tölvukerfi fyrirtækja.
  • Afritun á svokallaðri Offline Address Book úr Exchange sem inniheldur víðtækar upplýsingar um notendur á Exchange þjóninum, svo sem nöfn, netföng og símanúmer. Árásaraðili getur svo nýtt sér þessar upplýsingar til að framkvæma phishing árásir á starfsfólk fyrirtækis.
  • Áframhaldandi innbrot á bæði ytri og innri netþjóna til að komast yfir stærri hluta tölvukerfa fyrirtækis.
  • Uppsetning gagnagíslatökubúnaðs, bæði á póstþjóninum og öðrum netþjónum, sem læsir gögnum þeirra netþjóna er búnaðurinn er settur upp á. Krafist er lausnargjalds til að aflæsa gögnunum.
  • Hótanir um að birta gögn opinberlega.
  • Uppsetning hugbúnaðar til námugraftar rafmynta sem eykur álagið töluvert á búnaðinum, hægir á kerfunum og eykur rafmagnsnotkun netþjónsins.

Í ofangreindum atvikum notuðust árásaraðilar við hugbúnað sem er mikið notaður af kerfisstjórum, þar á meðal hugbúnaðinn PowerShell.

Nú þegar er vitað um tugi þúsunda póstþjóna í yfir hundrað löndum sem hafa orðið fyrir barðinu á árásaraðilum sem notast hafa við veikleika Microsoft Exchange og ljóst er að ekki sér enn fyrir endann á þessu þar sem uppfærslustjórnunarferlum er oft á tíðum ábótavant hjá fyrirtækjum.

 

En hvað er til ráða?

Microsoft hefur gefið út öryggisuppfærslur vegna fyrrnefndra veikleika, auk þess að hafa gefið út svokallað Health Checker script til að greina hvort veikleikinn eigi við innviðina.

Hafa ber þó í huga að ef verið er að keyra Microsoft Exchange 2013, 2016 eða 2019, að þá voru fyrrnefndir veikleikar greindir og þrátt fyrir að búið sé að uppfæra Exchange með nýjustu öryggisuppfærslum er enn mögulegt að árásaraðili hafi komið fyrir bakdyrum sem hægt er að notast við síðar meir. Þetta er vegna þess að öryggisuppfærslurnar hreinsa ekki það sem búið er að gera af árásaraðila, heldur einungis lokar á frekari árásir með þessum veikleikum.

Það er því afar mikilvægt að framkvæma sérstakar skoðanir á því hvort mögulegt sé að bakdyrum hafa verið komið fyrir í umhverfum þar sem Exchange þjónar eru til staðar og gera þá viðeigandi ráðstafanir.

Microsoft hefur getið út svokallað script sem fer yfir atburðaskrár Exchange þjóna og greinir ákveðin merki um innbrot. Hafa ber þó í huga að mögulegt er að atvikin komi ekki fram í atburðaskrám Exchange, bæði vegna þess að aðrar aðferðir gætu hafa verið notaðar og árásaraðili gæti verið búinn að hreinsa atburðaskrárnar.

Auðvitað er ekki nægjanlegt að bregðast við veikleikum sem þessum afturvirkt heldur þurfa fyrirtæki að vera með forvarnir í lagi svo sem uppfærslustjórnun, vöktun netkerfa og notast við öruggar stillingar kerfa.

Höfundur

Úlfar Andri Jónasson

Úlfar Andri Jónasson

Verkefnastjóri, Áhætturáðgjöf

Úlfar Andri Jónasson er verkefnastjóri í netöryggisþjónustu Deloitte á Íslandi. Hann er með ýmsar vottanir tengdar upplýsingaöryggi, þar á meðal Certified Information Systems Security Professional (CISSP) og Certified Information Systems Auditor (CISA). Úlfar hefur stjórnað og framkvæmt fjölda úttekta á upplýsingaöryggismálum viðskiptavina Deloitte, þar á meðal veikleikagreiningar, innbrotsprófanir og kóðarýni. Þá hefur Úlfar aðstoðað fyrirtæki við hönnun og innleiðingu stýringa tengdu netöryggi og innra eftirliti, auk þess að hafa víðtæka reynslu í kerfisstjórnun ogmýmsar vottanir frá Microsoft í kerfisrekstri. Úlfar er meðlimur í evrópsku viðbragðsteymi Deloitte vegna netöryggisógna og innbrota í tölvukerfi.