Πολλαπλές ομάδες που υποστηρίζονται από την κυβέρνηση εκμεταλλεύονται μια ευπάθεια στους email servers του Microsoft Exchange για την οποία κυκλοφόρησε πρόσφατα patch.
Οι προσπάθειες εκμετάλλευσης εντοπίστηκαν για πρώτη φορά από την εταιρεία Volexity που ασχολείται με την ασφάλεια στον κυβερνοχώρο με έδρα το Ηνωμένο Βασίλειο την Παρασκευή και επιβεβαιώθηκαν σήμερα από το ZDNet από μια πηγή.
Η Volexity δεν μοιράστηκε τα ονόματα των ομάδων hacking που εκμεταλλεύονται αυτήν την ευπάθεια του Exchange. Η πηγή χαρακτήρισε τις ομάδες hacking ως “όλους τους μεγάλους παίκτες”, αλλά επίσης αρνείται να ονομάσει ομάδες ή χώρες.
Η ευπάθεια του Microsoft exchange
Αυτές οι ομάδες υποστήριξης από το κράτος εκμεταλλεύονται μια ευπάθεια στους email servers του Microsoft Exchange, την οποία η Microsoft ενημέρωσε τον περασμένο μήνα.
Η ευπάθεια παρακολουθείται με τον αναγνωριστικό του CVE-2020-0688. Ακολουθεί μια σύνοψη των τεχνικών λεπτομερειών της ευπάθειας:
- Κατά την εγκατάσταση, οι servers του Microsoft Exchange αποτυγχάνουν να δημιουργήσουν ένα μοναδικό κρυπτογραφικό κλειδί για τον πίνακα ελέγχου του Exchange.
- Αυτό σημαίνει ότι όλοι οι email servers του Microsoft Exchange που κυκλοφόρησαν τα τελευταία 10 χρόνια χρησιμοποιούν πανομοιότυπα κρυπτογραφικά κλειδιά (validationKey και decryptionKey) για το backend του πίνακα ελέγχου τους.
- Οι επιτιθέμενοι μπορούν να στείλουν παραμορφωμένα αιτήματα στον πίνακα ελέγχου του Exchange που περιέχουν κακόβουλα σειριακά δεδομένα.
- Εφόσον οι hackers γνωρίζουν τα κλειδιά κρυπτογράφησης του πίνακα ελέγχου, μπορούν να διασφαλίσουν ότι τα σειριακά δεδομένα δεν είναι ανεπεξέργαστα, με αποτέλεσμα να υπάρχει κακόβουλος κώδικας στο backend του Exchange server.
- Ο κακόβουλος κώδικας εκτελείται με δικαιώματα SYSTEM, δίνοντας στους επιτιθέμενους πλήρη έλεγχο του server.
Η Microsoft κυκλοφόρησε ενημερώσεις κώδικα για αυτό το σφάλμα στις 11 Φεβρουαρίου, όταν προειδοποίησε επίσης τους system administrators να εγκαταστήσουν τις ενημερώσεις κώδικα το συντομότερο δυνατό, προβλέποντας μελλοντικές επιθέσεις.
Τίποτα δεν συνέβη για σχεδόν δύο εβδομάδες. Τα πράγματα κλιμακώθηκαν προς το τέλος του μήνα, όμως, όταν η Zero-Day Initiative, η οποία ανέφερε το σφάλμα στη Microsoft, δημοσίευσε μια τεχνική αναφορά που περιγράφει λεπτομερώς το σφάλμα και πώς λειτούργησε.
Η έκθεση χρησίμευσε ως οδικός χάρτης για τους ερευνητές της ασφάλειας, οι οποίοι χρησιμοποίησαν τις πληροφορίες που περιέχονται σε αυτές για να κατασκευάσουν δοκιμαστικές μεθόδους, ώστε να μπορούν να δοκιμάσουν τους δικούς τους servers και να δημιουργήσουν κανόνες ανίχνευσης και να προετοιμάσουν μετριασμούς.
Τουλάχιστον τρια από αυτά τα proof-of-concepts βρέθηκαν στο GitHub [1, 2, 3]. Ακολούθησε σύντομα μια μονάδα Metasploit.
Όπως ακριβώς και σε πολλές άλλες περιπτώσεις, όταν οι τεχνικές λεπτομέρειες και ο κώδικας κυκλοφόρησαν δημόσια, οι hackers άρχισαν επίσης να δίνουν προσοχή.
Στις 26 Φεβρουαρίου, μια ημέρα μετά την έναρξη της έκθεσης Zero-Day Initiative, οι ομάδες των hacker άρχισαν να σαρώνουν το διαδίκτυο για Exchange servers, συντάσσοντας καταλόγους ευάλωτων server που θα μπορούσαν να στοχεύσουν αργότερα. Οι πρώτες σαρώσεις αυτού του τύπου εντοπίστηκαν από την Intel Bad Packets.
Τώρα, σύμφωνα με την Volexity, οι σαρώσεις για Exchange servers έχουν μετατραπεί σε πραγματικές επιθέσεις.
Οι πρώτοι που χρησιμοποίησαν αυτό το σφάλμα ήταν οι APTs, ένας όρος που χρησιμοποιείται συχνά για να περιγράψει τις ομάδες hacker που χρηματοδοτούνται από το κράτος.
Ωστόσο, άλλες ομάδες αναμένεται επίσης να ακολουθήσουν το παράδειγμά τους. Οι ερευνητές στον τομέα ασφάλειας, δήλωσαν ότι αναμένουν ότι το σφάλμα θα γίνει πολύ δημοφιλές στις συμμορίες ransomware που στοχεύουν τακτικά δίκτυα επιχειρήσεων.
Ωστόσο, αυτό το θέμα ευπάθειας του Exchange δεν είναι εύκολο προς εκμετάλλευση. Οι ειδικοί ασφαλείας δεν βλέπουν αυτό το bug να γίνει compromise από script kiddies (όρος που χρησιμοποιείται για την περιγραφή χαμηλού επιπέδου, ανειδίκευτων hacker).
Για να εκμεταλλευτούν το σφάλμα του Exchange CVE-2020-0688, οι hackers χρειάζονται τα credentials ενός email στο Exchange – κάτι που συνήθως δεν έχουν τα script kiddies.
Το σφάλμα ασφαλείας CVE-2020-0688 είναι ένα λεγόμενο σφάλμα μετά τo authentication. Οι hackers πρέπει πρώτα να συνδεθούν και στη συνέχεια να εκτελέσουν το κακόβουλο payload που κάνει hijack τον email server του θύματος.
Αλλά ενώ αυτός ο περιορισμός θα κρατήσει τα παιδικά scripts μακριά, δεν θα κρατήσει τις APTs και ransomware συμμορίες, είπαν οι εμπειρογνώμονες.
Οι APT και οι συμμορίες ransomware συχνά ξοδεύουν το μεγαλύτερο μέρος του χρόνου τους ξεκινώντας καμπάνιες ηλεκτρονικού “ψαρέματος” (phishing), μέσα από τις οποίες αποκτούν τα email credentials των υπαλλήλων μιας εταιρείας.
Εάν ένας οργανισμός επιβάλλει έλεγχο ταυτότητας δύο παραγόντων (2FA) για λογαριασμούς email, αυτά τα credentials είναι ουσιαστικά άχρηστα, καθώς οι hackers δεν μπορούν να παρακάμψουν το 2FA.
Το σφάλμα CVE-2020-0688 επιτρέπει στις APTs να βρουν επιτέλους έναν σκοπό για τους παλαιότερους λογαριασμούς που προστατεύονται από 2FA που έχουν καταργήσει μήνες ή χρόνια πριν.
Μπορούν να χρησιμοποιήσουν οποιοδήποτε από αυτά τα παλαιότερα credentials χωρίς να χρειάζεται να παρακάμψουν το 2FA, αλλά ακόμη και να καταφέρουν να αναλάβουν την διαχείριση του Exchange server του θύματος.
Στους οργανισμούς που έχουν “APTs” ή “ransomware” στη μήτρα των απειλών συνιστάται να ενημερώσουν τους email servers Exchange με τις ενημερώσεις ασφαλείας του Φεβρουαρίου 2020 το συντομότερο δυνατό.
Το hacking των email server είναι το πιο σημαντικό σημείο των επιθέσεων APT, καθώς αυτό τους επιτρέπει να παρακολουθούν και να διαβάζουν τις επικοινωνίες μέσω email μιας εταιρείας.
Αυτή η ανάρτηση από το TrustedSec περιέχει οδηγίες σχετικά με τον τρόπο ανίχνευσης ενός Exchange server που έχει ήδη χακαριστεί μέσω αυτού του σφάλματος.
