Microsoft poziva klijente da ažuriraju svoje Exchange servere, kao i da preduzmu korake za jačanje okruženja, kao što je omogućavanje Windows Extended Protection-a i konfigurisanje potpisivanja PowerShell serijalizacije na osnovu sertifikata.
“Napadači koji žele da iskoriste nezakrpljene Exchange servere neće nestati”, rekao je Exchange tim tehnološkog giganta u objavi. “Postoji previše aspekata nezakrpljenih lokalnih Exchange okruženja koji su vrijedni za loše aktere koji žele eksfiltrirati podatke ili počiniti druge maliciozne radnje.”
Microsoft je također naglasio da su ublažavanja koje je izdala kompanija samo zaustavno rješenje i da mogu “postati nedovoljni za zaštitu od svih varijacija napada”, što zahtijeva da korisnici instaliraju neophodna sigurnosna ažuriranja kako bi osigurali servere.
Exchange server se pokazao kao unosan vektor napada u posljednjih nekoliko godina, uz brojne sigurnosne propuste u softveru koji je naoružan kao zero-days za hakovanje sistema.
Samo u protekle dvije godine otkriveno je nekoliko skupova ranjivosti u Exchange serveru, uključujući ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell i zaobilaznicu za ublažavanje ProxyNotShell-a poznatu kao OWASSRF, od kojih su neke došle u široko rasprostranjenu eksploataciju.
Bitdefender, u tehničkom savjetu objavljenom ove sedmice, opisao je Exchange kao “idealnu metu”, dok je također opisao neke od napada u stvarnom svijetu koji uključuju lance eksploatacije ProxyNotShell-a/OWASSRF-a od kraja novembra 2022. godine.
“Postoji složena mreža frontend i backend usluga u Exchange-u, sa naslijeđenim kodom za pružanje kompatibilnosti unazad,” primijetio je Martin Zugec iz Bitdefender-a. “Pozadinske usluge vjeruju zahtjevima sa prednjeg sloja (Client Access Services).”
Drugi razlog je činjenica da više pozadinskih usluga radi kao sam Exchange server, koji dolazi sa sistemskim privilegijama, i da bi eksploatacije mogle omogućiti napadaču neovlašteni pristup udaljenom PowerShell servisu, efikasno otvarajući put za izvršavanje malicioznih komandi.
U tom cilju, napadi koji koriste proxyNotShell i OWASSRF mane su ciljani na industriju umjetnosti i zabave, konsaltinga, prava, proizvodnje, nekretnina i veleprodaje u Austriji, Kuvajtu, Poljskoj, Turskoj i SAD-u.
“Ovi tipovi napada na krivotvorenje zahtjeva na strani servera (SSRF) omogućavaju hakeru da pošalje kreirani zahtjev sa ranjivog servera na druge servere za pristup resursima ili informacijama kojima se inače ne može direktno pristupiti”, saopštila je rumunska kompanija za kiber bezbjednost.
Za većinu napada se kaže da su oportunistički, a ne fokusirani i ciljani, pri čemu su infekcije kulminirale pokušajem implementacije webshell-a i softvera za daljinsko praćenje i upravljanje (RMM), kao što su ConnectWise Control i GoTo Resolve.
Webshell ne samo da nudi uporan mehanizam daljinskog pristupa, već i omogućavaja hakerima da provode širok spektar aktivnosti koje slijede, pa čak i prodaju pristup drugim hakerskim grupama za profit.
U nekim slučajevima, scenski serveri koji se koriste za hostovanje korisnih podataka već su bili kompromitovani i sami Microsoft Exchange serveri, što sugeriše da je ista tehnika možda primenjena za proširenje obima napada.
Takođe su primećeni neuspešni napori koje su hakeri preduzeli da preuzmu Cobalt Strike, kao i Go bazirani implant kodnog naziva GoBackClient koji dolazi sa mogućnostima za prikupljanje sistemskih informacija i stvaranje reverznih shell-ova.
Zloupotreba ranjivosti Microsoft Exchange-a je takođe ponavljajuća taktika koju koriste UNC2596 (aka Tropical Scorpius), operateri Cuba (aka COLDDRAW) ransomware-a, s jednim napadom koji je koristio sekvencu eksploatacije ProxyNotShell-a da bi se izbacio BUGHATCH downloader.
“Iako se početni vektor infekcije razvija i akteri prijetnji brzo iskoriste svaku novu priliku, njihove aktivnosti nakon eksploatacije su poznate”, rekao je Zugec. “Najbolja zaštita od modernih kiber napada je arhitektura dubinske odbrane.”
Izvor: The Hacker News