Консультація для клієнтів ESET 2021-0004
11 березня 2021 року
Серйозність: Критична
Короткий зміст
2 березня 2021 року корпорація Майкрософт опублікувала інформацію про критичні вразливості в своїх серверах Exchange Server 2013, 2016 і 2019. Ці вразливості дозволяють віддаленому зловмиснику отримати контроль над будь-яким сервером Exchange, доступним через інтернет, не знаючи жодних облікових даних доступу. У той же час, Microsoft також випустила патчі для цих вразливостей, і ESET наполегливо рекомендує встановити їх якомога швидше.
Деталі
Характер вразливостей дозволяє встановити на сервер веб-оболонку, яка потім може слугувати точкою входу для подальшого встановлення шкідливого програмного забезпечення. Продукти ESET Security виявляють такі веб-оболонки та бекдори, що використовуються в процесі експлуатації:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Враховуючи високий рівень експлуатованості та той факт, що численні суб'єкти загроз активно сканують Інтернет у пошуках серверів, які можна експлуатувати, можна припустити, що більшість серверів, відкритих для доступу до Інтернету, могли бути скомпрометовані. Щоб запобігти подальшій експлуатації, необхідно якомога швидше встановити доступні оновлення, надані корпорацією Майкрософт.
Однак застосування патчів не захищає вже зламані сервери. Тому необхідно провести розслідування та пошук залишків компрометації та шкідливого програмного забезпечення або слідів шкідливого програмного забезпечення в середовищі, а також змінити облікові дані доступу.
Для більш детального аналізу та відновлення скомпрометованого сервера, будь ласка, зверніться до блогу WeLiveSecurity компанії ESET за адресою https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/.
Примітка: Одна з уразливостей також впливає на Exchange Server 2010. Це не перший крок у ланцюжку атак, але для нього було випущено патч з метою поглибленого захисту. Ми все ще рекомендуємо дослідити її на предмет потенційної експлуатації.
Відгуки та підтримка
Якщо у вас є відгуки або запитання про цю проблему, будь ласка, зв'яжіться з нами на форумі ESET Security Forum або через місцеву службу технічної підтримки ESET.
Ресурси
- Сервери обміну даними під облогою щонайменше 10 груп APT - стаття в блозі WeLiveSecurity від ESET
- Початкові твіти ESET Research
- Чи захистить мене ESET від експлойта Hafnium нульового дня в Microsoft Exchange? - стаття в базі знань ESET
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 - деталі вразливостей на сайті Microsoft Security Response Center
- HAFNIUM атакує сервери Exchange за допомогою 0-day експлойтів - стаття в блозі Microsoft Security
- Випущено декілька оновлень безпеки для сервера Exchange - стаття в блозі Центру реагування на загрози безпеки корпорації Майкрософт
- Усунення вразливостей в Microsoft Exchange Server - стаття в блозі Центру реагування на загрози безпеки Майкрософт
- Оновлення безпеки сервера Exchange у березні 2021 року для старих накопичувальних оновлень сервера Exchange - стаття в блозі команди розробників Exchange на Microsoft Tech Community
Журнал версій
Версія 1.0 (11 березня 2021 року): Початкова версія цього документа
