2021年3月2日、マイクロソフトはExchange Server 2010、2013、2016、および2019の4つの重大な脆弱性に対処するための緊急アップデートをリリースしまし た。
インシデントおよびフォレンジックチームは、これらの新しい脅威に起因するインシデントの調査に積極的に関与しています。これらの脆弱性は、Exchangeサーバーへのリモートアクセスを取得し、メールボックス全体を含む機密データをアンロードするために悪意を持って使用されることが確認されています。
攻撃者は、ドメインコントローラなどのさらに重要なシステムに切り替えるために、Exchangeへのリモートアクセスを使用している可能性が高いことに注意してください。
Microsoftは、これらの脆弱性を悪用したとされる中国の国家支援グループHAFNIUMを報告しました。Microsoftによる と、ExchangeOnlineは同じ脆弱性の影響を受けません。
脆弱性の説明
攻撃中に合計4つのCVEが悪用されます。
- CVE-2021-26855は、Exchangeサーバー側の要求偽造(SSRF)の脆弱性であり、攻撃者が特定のExchangeサーバーに代わって任意のHTTP要求を送信し、自分自身を認証することを可能にします。
- CVE-2021-26857-特権の昇格に使用-サーバー上のシステムアカウントの特権を取得するための特権の昇格:SYSTEM
- CVE-2021-26858およびCVE-2021-27065は、サーバー上の任意の(任意の)フォルダーにファイルを書き込むために使用されます。
攻撃者のチームは、効果的な攻撃を実行するために、これらの脆弱性のエクスプロイトを結び付けます。さらに、Veloxityからこれらの操作の分析を表示でき ます。
攻撃はどのように行われますか
- 攻撃者は、HTTPポート443が開いている脆弱なExchangeサーバーを見つけます
- SSRFの脆弱性(上記の最初の脆弱性)を悪用して、このExchangeサーバーに代わって必要なアクセスと認証を取得します
- (SYSTEM), , , (, ProcDump)
- Exchange / ,
- , , «»
- WebShell, .
- , Exchange, , . , Microsoft : Cumulative Update Security Update.
- Microsoft PowerShell , , ASPX(.aspx)
- (Kevin Beaumont) « » nmap
- - Varonis DatAlert :
- , Exchange;
- Web, , , DNS ( SWG [web-proxy] DNS Edge);
- , «» Exchange;
- , , ( , – Data Classification Engine).
PSサポートが必要な場合は 、ロシアのVaronisチームに連絡するか、ウェブサイトの専用ページから直接インシデント調査部門に連絡して ください。会社が安全でない場合でも、最善を尽くして安全を確保します。 Varonisの顧客。