A Microsoft négy kritikus biztonsági hibát foltozott be az Exchange e-mail szerver alkalmazásában. A G DATA szakértőinek segítségével összefoglaljuk, mit tudunk a problémáról és a vállalatoknak mit kell tenniük.
A Microsoft négy, magas szintű kritikus biztonsági hibát javított ki, melyeket az Exchange e-mail szerver alkalmazásban fedeztek fel. A hiba azért kritikus többek között, mert nincs szükség jelszavakra ahhoz, hogy a támadók a teljes vállalati levelezéshez hozzáférjenek.
A biztonsági hibákat a HAFNIUM nevű hackercsoport használta ki, de azóta több HAFNIUM klón is megjelenhetett. A sérülékenységek segítségével a vállalatok belső kommunikációjához, a teljes levelezéshez hozzáférhetnek.
A támadók „Exchange szervernek adták ki” magukat azon kliensek számára, amelyek megpróbáltak hozzáférni a levelezéshez. A támadás későbbi szakaszában a hackerek fájlokat is tudtak tárolni az ellenőrzésük alá vont e-mail szerveren. A hackerek egy hátsó ajtót is elhelyezhetnek a szerveren, így ők bármikor hozzáférhetnek a levelezéshez vagy egy zsarolóvírusos támadást indíthatnak az érintett szervezet ellen.
A szóban forgó négy biztonsági hiba:
A fenti négy sérülékenység mellett a Microsoft tovább három sérülékenységet is javított. Közülük kettő (CVE-2021-26412 és CVE-2021-27078) távoli kód futtatását teszi lehetővé, ezeket is kritikusnak osztályozták.
Milyen Exchange verziók érintettek?
A sérülékenységek az összes on-premise telepítését érintik a Microsoft Exchange 2013, 2016 és 2019 alkalmazásoknak. A Microsoft már kiadta a sérülékenységeket javító frissítéseket. Azt javasoljuk, a rendszergazdák haladéktalanul telepítsék őket.
A Microsoft az Exchange 2010 SP3-ra is kiadott egy frissítést. A hibák komolyságát figyelembe véve, várhatóan a már nem támogatott Microsoft Exchange 2010-esre is kiadnak egy frissítést. A felhő alapú Microsoft Exchange esetében semmi tennivalónk.
Ki ez a HAFNIUM csoport?
Az előzetes adatok alapján a HAFNIUM egy APT csoport, mely vélhetően Ázsiából dolgozik. Az APT vagyis Advanced Persistent Threat csoportok általában állami támogatású hacker csapatok, amelyek hosszú időn keresztül kitartóan támadják a kiszemelt áldozatot, amíg be nem jutnak a hálózatba.
Miért kiemelten fontos ez a sérülékenység?
A helyzet komolyságát az is mutatja, hogy a Microsoft kénytelen egy olyan Exchange verziót is frissíteni (a 2010-est), melynek hivatalos támogatása lejárt, de még sok vállalat használja. Valós az esélye annak, hogy a támadó csoportok zsarolóvírusokat helyeznek el az érintett Exchange szerverekre, majd komolyan akadályozzák a többek között a vállalatok, szervezetek, egészségügyi intézmények, hatóságok és kormányzati szervek munkáját.
A WannaCry zsarolóvírus esetében is a Microsoft arra kényszerült, hogy a hivatalosan nem támogatott operációs rendszereket is frissítse. Mivel a frissítést nem mindenki telepítette, a WannaCry milliárd dolláros mértékű kárt okozott világszerte. A most javított sérülékenységek is okozhatnak hasonló jellegű felfordulást. Emiatt rendkívül fontos, hogy az alaposan megvizsgált és kitisztított rendszerekre azonnal telepítsük a javításokat.
Milyen további teendőink vannak?
A jelentések szerint a sérülékenységeket már az év elején jelentették a Microsoft felé. A tervek szerint a Microsoft valamikor március elején javította volna a sérülékenységeket. Miután több esetben is jelezték, hogy a hibát a támadó csapatok aktívan kihasználták, a gyártó a hibajavításokat előrehozta.
Azonban a javítás nélkül eltelt hetekben több e-mail szerverre is bejuthattak a támadók. A G DATA szakértői azt tanácsolják, mielőtt telepítjük a hibajavítást alaposan nézzük meg saját logjainkat és Ecxhange szerverünket, hogy a támadók nem jutottak már be korábban a szerverre. Ha ennek bármi jelét tapasztaljuk zárjuk ki a támadókat, ehhez biztonsági szakemberek segítségét is kérhetjük.
Honnan tudjuk meg, hogy rendszerük már kompromittált?
A Microsoft weboldalán közzétett egy technikai tájékoztatót, melyben részletesen leírja, milyen jelek utalhatnak arra, hogy a saját on-premise Exchange szerverünket már sikeresen bevették a támadók, ezt a leírást itt találhatják meg.
Ezen kívül a Microsoft elkészített egy ingyenesen használható szkiptet, melynek segítségével ellenőrizhetjük, ha a saját Exchange szerverünk érintett, ez az eszköz és leírása a Github-on érhető el.
A német adatok szerint a hibajavítások elérhetősége után egy héttel még mindig közel 58 ezer nem frissített Exchange szerver volt az országban, világviszonylatban ez a szám nagyságrendekkel nagyobb lehet. Így mindennél fontosabb, hogy telepítsük a hibajavítást.
Megjegyzés a G DATA megoldások felhasználóinak
A sérülékenység kihasználásának egyik jele bizonyos archív fájlok jelenléte a %ProgramData% -ban.
Azonban a a G DATA Management Server és Client ebben a mappában tárol egyes archív fájlokat. A következő mappák tipikusan részesei egy meglévő G DATA telepítésnek, mely további almappákat tartalmazhat. Ezeket a fájlokat a G DATA Exchange pluginjához tartozó G DATA Management Server vagy a G Data Security Client hozta létre. A mappákban telepítési logok is találhatók.
Az alábbi mappák jelenléte tehát G DATA felhasználók esetében NEM jelenti azt, hogy a szervezetet támadás érte!
C:\ProgramData\G Data\AntiVirusKit Client\P2PUpdates\
C:\ProgramData\G Data\Setups\Logs\
C:\ProgramData\G Data\AntiVirus ManagementServer\LinuxRepo
C:\ProgramData\G Data\AntiVirus ManagementServer\Patches
C:\ProgramData\G Data\AntiVirus ManagementServer\Updates
