Σάββατο, 16 Ιανουαρίου, 04:03
Αρχική security Microsoft Exchange servers: Κυβερνητικές ομάδες hacking εκμεταλλεύονται το bug!

Microsoft Exchange servers: Κυβερνητικές ομάδες hacking εκμεταλλεύονται το bug!

Πολλαπλές ομάδες που υποστηρίζονται από την κυβέρνηση εκμεταλλεύονται μια ευπάθεια στους email servers του Microsoft Exchange για την οποία κυκλοφόρησε πρόσφατα patch.

Οι προσπάθειες εκμετάλλευσης εντοπίστηκαν για πρώτη φορά από την εταιρεία Volexity που ασχολείται με την ασφάλεια στον κυβερνοχώρο με έδρα το Ηνωμένο Βασίλειο την Παρασκευή και επιβεβαιώθηκαν σήμερα από το ZDNet από μια πηγή.

Η Volexity δεν μοιράστηκε τα ονόματα των ομάδων hacking που εκμεταλλεύονται αυτήν την ευπάθεια του Exchange. Η πηγή χαρακτήρισε τις ομάδες hacking ως “όλους τους μεγάλους παίκτες”, αλλά επίσης αρνείται να ονομάσει ομάδες ή χώρες.

Η ευπάθεια του Microsoft exchange

Αυτές οι ομάδες υποστήριξης από το κράτος εκμεταλλεύονται μια ευπάθεια στους email servers του Microsoft Exchange, την οποία η Microsoft ενημέρωσε τον περασμένο μήνα.

Η ευπάθεια παρακολουθείται με τον αναγνωριστικό του CVE-2020-0688. Ακολουθεί μια σύνοψη των τεχνικών λεπτομερειών της ευπάθειας:

  • Κατά την εγκατάσταση, οι servers του Microsoft Exchange αποτυγχάνουν να δημιουργήσουν ένα μοναδικό κρυπτογραφικό κλειδί για τον πίνακα ελέγχου του Exchange.
  • Αυτό σημαίνει ότι όλοι οι email servers του Microsoft Exchange που κυκλοφόρησαν τα τελευταία 10 χρόνια χρησιμοποιούν πανομοιότυπα κρυπτογραφικά κλειδιά (validationKey και decryptionKey) για το backend του πίνακα ελέγχου τους.
  • Οι επιτιθέμενοι μπορούν να στείλουν παραμορφωμένα αιτήματα στον πίνακα ελέγχου του Exchange που περιέχουν κακόβουλα σειριακά δεδομένα.
  • Εφόσον οι hackers γνωρίζουν τα κλειδιά κρυπτογράφησης του πίνακα ελέγχου, μπορούν να διασφαλίσουν ότι τα σειριακά δεδομένα δεν είναι ανεπεξέργαστα, με αποτέλεσμα να υπάρχει κακόβουλος κώδικας στο backend του Exchange server.
  • Ο κακόβουλος κώδικας εκτελείται με δικαιώματα SYSTEM, δίνοντας στους επιτιθέμενους πλήρη έλεγχο του server.

Η Microsoft κυκλοφόρησε ενημερώσεις κώδικα για αυτό το σφάλμα στις 11 Φεβρουαρίου, όταν προειδοποίησε επίσης τους system administrators να εγκαταστήσουν τις ενημερώσεις κώδικα το συντομότερο δυνατό, προβλέποντας μελλοντικές επιθέσεις.

Τίποτα δεν συνέβη για σχεδόν δύο εβδομάδες. Τα πράγματα κλιμακώθηκαν προς το τέλος του μήνα, όμως, όταν η Zero-Day Initiative, η οποία ανέφερε το σφάλμα στη Microsoft, δημοσίευσε μια τεχνική αναφορά που περιγράφει λεπτομερώς το σφάλμα και πώς λειτούργησε.

Η έκθεση χρησίμευσε ως οδικός χάρτης για τους ερευνητές της ασφάλειας, οι οποίοι χρησιμοποίησαν τις πληροφορίες που περιέχονται σε αυτές για να κατασκευάσουν δοκιμαστικές μεθόδους, ώστε να μπορούν να δοκιμάσουν τους δικούς τους servers και να δημιουργήσουν κανόνες ανίχνευσης και να προετοιμάσουν μετριασμούς.

Τουλάχιστον τρια από αυτά τα proof-of-concepts βρέθηκαν στο GitHub [1, 2, 3]. Ακολούθησε σύντομα μια μονάδα Metasploit.

Όπως ακριβώς και σε πολλές άλλες περιπτώσεις, όταν οι τεχνικές λεπτομέρειες και ο κώδικας κυκλοφόρησαν δημόσια, οι hackers άρχισαν επίσης να δίνουν προσοχή.

Στις 26 Φεβρουαρίου, μια ημέρα μετά την έναρξη της έκθεσης Zero-Day Initiative, οι ομάδες των hacker άρχισαν να σαρώνουν το διαδίκτυο για Exchange servers, συντάσσοντας καταλόγους ευάλωτων server που θα μπορούσαν να στοχεύσουν αργότερα. Οι πρώτες σαρώσεις αυτού του τύπου εντοπίστηκαν από την Intel Bad Packets.

Τώρα, σύμφωνα με την Volexity, οι σαρώσεις για Exchange servers έχουν μετατραπεί σε πραγματικές επιθέσεις.

Οι πρώτοι που χρησιμοποίησαν αυτό το σφάλμα ήταν οι APTs, ένας όρος που χρησιμοποιείται συχνά για να περιγράψει τις ομάδες hacker που χρηματοδοτούνται από το κράτος.

Ωστόσο, άλλες ομάδες αναμένεται επίσης να ακολουθήσουν το παράδειγμά τους. Οι ερευνητές στον τομέα ασφάλειας, δήλωσαν ότι αναμένουν ότι το σφάλμα θα γίνει πολύ δημοφιλές στις συμμορίες ransomware που στοχεύουν τακτικά δίκτυα επιχειρήσεων.
Ωστόσο, αυτό το θέμα ευπάθειας του Exchange δεν είναι εύκολο προς εκμετάλλευση. Οι ειδικοί ασφαλείας δεν βλέπουν αυτό το bug να γίνει compromise από script kiddies (όρος που χρησιμοποιείται για την περιγραφή χαμηλού επιπέδου, ανειδίκευτων hacker).

Για να εκμεταλλευτούν το σφάλμα του Exchange CVE-2020-0688, οι hackers χρειάζονται τα credentials ενός email στο Exchange – κάτι που συνήθως δεν έχουν τα script kiddies.

Το σφάλμα ασφαλείας CVE-2020-0688 είναι ένα λεγόμενο σφάλμα μετά τo authentication. Οι hackers πρέπει πρώτα να συνδεθούν και στη συνέχεια να εκτελέσουν το κακόβουλο payload που κάνει hijack τον email server του θύματος.

Αλλά ενώ αυτός ο περιορισμός θα κρατήσει τα παιδικά scripts μακριά, δεν θα κρατήσει τις APTs και ransomware συμμορίες, είπαν οι εμπειρογνώμονες.

Οι APT και οι συμμορίες ransomware συχνά ξοδεύουν το μεγαλύτερο μέρος του χρόνου τους ξεκινώντας καμπάνιες ηλεκτρονικού “ψαρέματος” (phishing), μέσα από τις οποίες αποκτούν τα email credentials των υπαλλήλων μιας εταιρείας.

Εάν ένας οργανισμός επιβάλλει έλεγχο ταυτότητας δύο παραγόντων (2FA) για λογαριασμούς email, αυτά τα credentials είναι ουσιαστικά άχρηστα, καθώς οι hackers δεν μπορούν να παρακάμψουν το 2FA.

Το σφάλμα CVE-2020-0688 επιτρέπει στις APTs να βρουν επιτέλους έναν σκοπό για τους παλαιότερους λογαριασμούς που προστατεύονται από 2FA που έχουν καταργήσει μήνες ή χρόνια πριν.

Μπορούν να χρησιμοποιήσουν οποιοδήποτε από αυτά τα παλαιότερα credentials χωρίς να χρειάζεται να παρακάμψουν το 2FA, αλλά ακόμη και να καταφέρουν να αναλάβουν την διαχείριση του Exchange server του θύματος.

Στους οργανισμούς που έχουν “APTs” ή “ransomware” στη μήτρα των απειλών συνιστάται να ενημερώσουν τους email servers Exchange με τις ενημερώσεις ασφαλείας του Φεβρουαρίου 2020 το συντομότερο δυνατό.

Το hacking των email server είναι το πιο σημαντικό σημείο των επιθέσεων APT, καθώς αυτό τους επιτρέπει να παρακολουθούν και να διαβάζουν τις  επικοινωνίες μέσω email μιας εταιρείας.

Αυτή η ανάρτηση από το TrustedSec περιέχει οδηγίες σχετικά με τον τρόπο ανίχνευσης ενός Exchange server που έχει ήδη χακαριστεί μέσω αυτού του σφάλματος.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...