Romkabaz/ProxyLogon
Тип Комп'ютерна вразливість / дозволяє зловмисникам авторизуватись на домен
Розробник Microsoft
Операційна система Microsoft Windows
Українська активно використовується для груп хакерських атак в 2021 році
Ліцензія Microsoft Exchange Server
Вебсайт proxylogon.com

ProxyLogon - це формально загальна назва для CVE-2021-26855, вразливость продукту Microsoft Exchange Server, яка дозволяє зловмисникові обходити автентифікацію та видавати себе за адміністратора.

Походженя дослідженьРедагувати

DEVCORE спостерігав, що глобальні підприємства та організації покладаються на екосистему Microsoft для їх щоденного ведення бізнесу. Серед усіх своїх послуг Microsoft Exchange має величезну кількість користувачів у всьому світі. З огляду на це, якщо буде розпочата справжня хакерська атака, це призведе до витоку конфіденційних даних від своїх користувачів та призведе до значних втрат для цих підприємств . Маючи великий досвід досліджень Mail Solution, включаючи Dovecot та Exim , DEVCORE зосередився на дослідженнях Microsoft Exchange Server, сподіваючись посилити обізнаність про кібербезпеку серед глобальних підприємств та запобігти потенційним атакам та втратам. Актуальні дані, щодо захисту від ураження, відображаються за посиланням https://proxylogon.com/. Також існує аматорський сайт невідомого користувача https://radetskiy.wordpress.com/2021/03/15/ms_exchange_proxylogon/.

Історія - графік розкриття вразливостейРедагувати

01 жовтня 2020 р DEVCORE розпочав перевірку безпеки на сервері Microsoft Exchange
10 грудня 2020 року DEVCORE виявив першу помилку проксі-сервера з попередньою автентифікацією ( CVE-2021-26855 )
27 грудня 2020 р DEVCORE переніс першу помилку на обхід аутентифікації, щоб стати адміністратором
30 грудня 2020 р DEVCORE виявив другу помилку довільного запису файлу після авторизації ( CVE-2021-27065 )
31 грудня 2020 р DEVCORE прив’язав всі помилки до працездатного експлойту RCE, який попередньо підтверджує автентичність
05 січня 2021 року DEVCORE надіслав (18:41 за Гринвічем + 8) рекомендації та експлойти Microsoft безпосередньо через портал MSRC
06 січня 2021 року MSRC визнав помилку проксі-сервера перед авторизацією (випадок MSRC 62899)
06 січня 2021 року MSRC визнав помилку довільного запису файлу після авторизації (випадок MSRC 63835)
08 січня 2021 року MSRC підтвердив зареєстровану поведінку
11 січня 2021 року DEVCORE прикріпив до MSRC 120-денний термін публічного оприлюднення та перевірив на зіткнення помилок
12 січня 2021 року MSRC позначив запланований термін і не підтвердив жодного зіткнення на той момент
02 лютого 2021 року DEVCORE перевірив наявність оновлень
02 лютого 2021 року MSRC відповів: "Вони окремо розділяють різні аспекти для перегляду та отримали принаймні одне виправлення, яке повинно відповідати нашим термінам"
12 лютого 2021 року MSRC запитав заголовок для подяки та чи будемо ми публікувати щоденник
13 лютого 2021 року DEVCORE підтвердив публікацію блогу та заявив, що відкладе деталі техніки на два тижні, а замість цього опублікує зручне для розуміння повідомлення (без деталей техніки)
18 лютого 2021 року DEVCORE надав консультативний проект MSRC та попросив дату виправлення
18 лютого 2021 року MSRC зазначив незначну помилку в нашому проекті та підтвердив дату виправлення 3/9
27 лютого 2021 року MSRC заявив, що вони майже готові до випуску, і хотів би запитати, чи добре ми з тим, що згадано в їхніх рекомендаціях
28 лютого 2021 року DEVCORE погодився бути згаданим у своїх рекомендаціях
03 березня 2021 року MSRC заявив, що вони, швидше за все, будуть висувати свій блог раніше, ніж очікувалося, і не встигнуть зробити огляд блогу
03 березня 2021 року MSRC опублікував патч та рекомендації та офіційно визнав DEVCORE
03 березня 2021 року DEVCORE розпочав початкове розслідування після отримання інформації про активну експлуатацію від Volexity
04 квітня 2021 року DEVCORE підтвердив, що дикий подвиг був тим самим, про який повідомляли MSRC
05 березня 2021 року DEVCORE не виявив занепокоєння в ході розслідування
08 березня 2021 року Оскільки все більше компаній з кібербезпеки виявили ознаки вторгнення на Microsoft Exchange Server зі свого клієнтського середовища, пізніше DEVCORE дізнався, що HAFNIUM використовував експлойт ProxyLogon під час атаки наприкінці лютого з блоку 42 , Rapid 7 та CrowdStrike .

Хронологія подій в УкраїниРедагувати

15.03.2021[1][2] - Рада національної безпеки та оборони України попереджає про високий рівень загрози взлому Microsoft Exchange Server всіх версій, окрім онлайн

ЗахистРедагувати

На жаль, установка виправлень безпеки ProxyLogon не гарантує безпеку сервера - зловмисник, можливо, порушив його до встановлення оновлення.

Рекомендаціїні дії (патчі) Microsoft на Githab[3]

Microsoft випустила спеціальний додаток,[4] який за один клік допомагає позбутися від уразливостей ProxyLogon, що зачіпають сервери Microsoft Exchange.

Цей софт стане у нагоді тим, хто з певних причин не може встановити патчі, які вже з’явилися. Інструмент отримав назву EOMT (Exchange On-premises Mitigation Tool[5]), він написаний на PowerShell і доступний для завантаження з офіційного GitHub-екаунта Microsoft. За словами корпорації з Редмонда, EOMT покликаний допомогти компаніям, у яких немає команд з кібербезпеки та ІТ-відділів. За допомогою нового інструменту такі організації зможуть хоча б частково захиститися від експлойтів ProxyLogon.

Microsoft закликає співробітників скомпрометованих компаній завантажити EOMT і запустити PowerShell-скрипт EOMT.ps1. Після запуску на сервер встановиться конфігурація перевизначення URL, чого повинно бути достатньо для пом’якшення наслідків експлуатації уразливості CVE-2021-26855.

Перевірити свій домен на можливість ураження можна за допомогою безкоштовного сервісу https://www.shodan.io/

Корпорація[6] випустила оновлення до продукту Microsoft Exchange Server.

Коментарі спеціалістів антивірусної програми Mcafee за посиланням на їхній сайт https://kc.mcafee.com/corporate/index?page=content&id=KB94270.

Посилання для завантажень критичних оновлень Microsoft Exchange Server вручну https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

Схема дії вірусуРедагувати

Спеціалістами компанії Mikrosoft виявлено схему атак кіберзлочинців з використанням вразливостей Exchange Server та опубліковано на їх сайті.

Шкідлива діяРедагувати

Крадіжка інформації та шифрування з фінансовою вимогою на Bitcoin гаманець від 10$ тисяч до 50$ долларів, проте згідно інформації антивірусної компанії Eset дані після ураження розшифрувати неможливо

ДжерелаРедагувати

ПосиланняРедагувати

  1. У РНБО заявили про високий рівень кіберзагроз при експлуатації Microsoft Exchange. LB.ua. Процитовано 6 квітня 2021. 
  2. Рада національної безпеки і оборони України. Рада національної безпеки і оборони України (ua). Процитовано 6 квітня 2021. 
  3. microsoft/CSS-Exchange. GitHub (англ.). Процитовано 6 квітня 2021. 
  4. One-Click Microsoft Exchange On-Premises Mitigation Tool – March 2021 – Microsoft Security Response Center. msrc-blog.microsoft.com. Процитовано 6 квітня 2021. 
  5. One-Click Microsoft Exchange On-Premises Mitigation Tool – March 2021 – Microsoft Security Response Center. msrc-blog.microsoft.com. Процитовано 6 квітня 2021. 
  6. On-Premises Exchange Server Vulnerabilities Resource Center – updated March 25, 2021 – Microsoft Security Response Center. msrc-blog.microsoft.com. Процитовано 6 квітня 2021.