Banner angajari CERT-RO 2021

Actualizări de securitate pentru vulnerabilități critice ale Microsoft Exchange Server

2021/03/03
Popularitate 1013

Foto: pratum.com

UPDATE 23.03.2021

Specialiștii Centrului Național Cyberint au transmis recent o notificare despre derularea unei campanii de tip ransomware (denumită "Black Kingdom") utilizată pentru exploatarea vulnerabilităților ProxyLogon ale MS Exchange, în scopul criptării serverelor. Cum funcționează atacul și ce puteți face pentru a vă proteja?

Atacatorul utilizează aceste vulnerabilități pentru a putea rula un script PowerShell care descarcă executabilul ransomware de la domeniul "yuuuuu44[.]com", distribuindu-l apoi către alte stații din rețea. Ca mod de operare, produsul ransomware criptează fișierele de pe stația infectată folosind extensii aleatoare și crează un fișier text de răscumpărare (denumit decrypt_file.TxT sau ReadMe.txt).

Pentru prevenirea infectării cu acest ransomware, vă recomandăm să aplicați urgent ultimele actualizări disponibile în cazul serverelor vulnerabile, dacă nu ați facut-o deja!

De asemenea, ca măsuri suplimentare de protecție, se recomandă:

  • utilizarea unei soluții antivirus pentru servere
  • efectuarea unui back-up regulat (zilnic, săptămânal) pentru datele și informațiile critice. Recomandăm ca datele să fie salvate pe dispozitive de stocare offline (servere, NAS, HDD), în locații protejate, iar accesul la acestea să fie limitat
  • dezactivarea serviciului RDP de pe toate stațiile și servere din rețea, dacă acesta nu este utilizat sau nu este neapărat necesar
  • setarea politicii de execuție pentru scripturi PowerShell în modul restricted.

UPDATE 16.03.2021

Microsoft a publicat ieri seară o nouă serie de îndrumări suplimentare pentru investigarea și remedierea vulnerabilităților locale Exchange Server. Detalii complete, în limbra engleză, pe blogul Microsoft:

https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/

În urma aplicării patch-urilor, se recomandă o nouă verificare:

- Folosiți Defender for Endpoint (Defender ATP) Threat Analytics Report 

- Scanare cu Nmap

- Aplicare baseline de configurare în SCCM și verificare servere 

https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

UPDATE 15.03.2021

În ultimele săptămâni, atât Microsoft, cât și ale companii din domeniul securității cibernetice au detectat o creștere a atacurilor împotriva serverelor Exchange locale. Ținta o reprezintă un tip de server de e-mail utilizat cel mai adesea de către întreprinderile mici și mijlocii, deși au fost afectate și organizații mai mari.

Microsoft amintește că vulnerabilitățile au fost exploatate la debut în atacuri statale, dar în timp, au atras atenția și altor organizații de infracționalitate cibernetică. Aceștia din urmă le-au folosit în propagarea de noi atacuri, inclusiv cu ransomware.

Se discută deja despre un atac amplu, așadar protejarea sistemelor dvs. este esențială! Deși Microsoft are metode utilizate regulat pentru furnizarea de actualizări ale software-ului, această situație extraordinară necesită o abordare mai complexă decât aplicarea unor update-uri. În plus față de actualizările regulate de software, Microsoft oferă și actualizări specifice pentru progamele mai vechi, care sunt în afara suportului, cu intenția de a oferi o protecție rapidă.

Primul pas este să vă asigurați că toate actualizările de securitate relevante sunt aplicate fiecărui sistem. Găsiți versiunea Exchange Server pe care o utilizați și aplicați actualizarea! Aceasta va asigura protecție pentru atacurile cunoscute și va oferi organizației dvs. timp pentru a actualiza serverele la o versiune care are update-uri complete de securitate.

Următorul pas presupune identificarea posibilității ca sistemele să fi fost compromise și, dacă da, să le eliminați din rețea. În acest articol veți regăsi o serie recomandată de pași și instrumente pentru a vă ajuta - inclusiv scripturi care vă vor permite să căutați indicii ale unei posibile compromiteri, o nouă versiune a Microsoft Safety Scanner pentru identificarea programelor malware și un nou set de indicatori de compromitere care se actualizează în timp real.

Pentru a ilustra scopul acestui atac și pentru a arăta progresele înregistrate în actualizarea sistemelor, Microsoft a lucrat cu RiskIQ. Pe baza telemetriei de la RiskIQ, s-a identificat un univers total de aproape 400.000 de servere Exchange pe 1 martie. Până pe 9 martie existau ceva mai mult de 100.000 de servere încă vulnerabile. Acest număr a scăzut constant, rămânând aproximativ 82.000 de actualizat. Microsoft a lansat un set suplimentar de actualizări pe 11 martie și, cu aceasta, anunță că a acoperit mai mult de 95% din toate versiunile expuse pe Internet.

____________________________________________________________________________________________________

Microsoft a lansat pe 2 martie actualizări critice pentru versiunile de Exchange Server 2010-2019 și a atras deja atenția pe site asupra faptului că atacatorii au în vizor exploatarea acestor vulnerabilități.

Descriere

Săptămâna trecută, compania americană publica informația conform căreia a detectat multiple exploatări ale acestor vulnerabilități, folosite pentru a ataca versiunile locale ale Exchange Server în atacuri limitate și cu o țintă precisă.

Mai mulți actori încearcă să profite în aceste zile de faptul că unele sisteme nu sunt încă actualizate. Microsoft a lansat deja un flux de informații cu indicatori de compromitere observați în atacuri conexe, care sunt disponibili în format CSV sau JSON.

Mai mult, Microsoft a publicat pe Github un script ce automatizează comenzile utilizate pentru identificarea atacurilor prin exploatarea vulnerabilităților din atacul Hafnium. În clipul explicativ de mai jos aveți pașii necesari pentru a rula scriptul GitHub care vă poate arăta dacă ați fost compromis.

Remediere

Recomandarea CERT-RO este să instalați imediat actualizările furnizate de producător, pentru a vă proteja împotriva acestor tipuri de amenințări și să folosiți instrumentul de identificare a atacurilor.

Pentru cei care nu pot să aplice rapid aceste actualizări, Microsoft oferă pe blog câteva tehnici alternative de mitigare, pentru a sprijini clienții Microsoft Exchange care au nevoie de mai mult timp pentru a-și repara implementările și sunt dispuși să facă compromisuri în funcție de riscuri și servicii. Acestea nu reprezintă o soluție de remediere, dacă serverele Exchange au fost deja compromise și nici nu sunt o protecție completă împotriva atacurilor.

Totodată, se recomandă inițierea unei investigații, în paralel, sau după aplicarea uneia dintre strategiile de mitigare propuse. Toate scripturile și instrumentele menționate , împreună cu îndrumări privind utilizarea acestora, pot fi găsite aici: https://github.com/microsoft/CSS-Exchange/blob/main/Security/

Dacă vă aflați în situația de a nu putea actualiza încă serverele Exchange, aveți la dispoziție inclusiv optiuni de reducere a riscului: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

În plus, Microsoft pune la dispoziția clienților săi un instrument de scanare (Microsoft Safety Scanner) conceput pentru a găsi și  elimina malware de pe computerele pe care rulează Windows. Acesta poate fi descărcat și utilizat în investigație: https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

Surse 

Mai multe informații despre acestă vulnerabilitate, în limba engleză:

HAFNIUM: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

SCRIPT: https://github.com/microsoft/CSS-Exchange/blob/cb550e399bc2785e958472e533147826e2b6bf24/Security/Test-ProxyLogon.ps1

PROTECȚIE: https://www.microsoft.com/security/blog/2021/03/12/protecting-on-premises-exchange-servers-against-recent-attacks/

ACTUALIZĂRI: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901