MS Exchange zraniteľnosť
Microsoft Exchange je pomerne rozsiahlo rozšírené a obľúbené riešenie emailového servera, ktorý umožňuje organizáciám akejkoľvek veľkosti primárne prijímanie, odosielanie a uchovávanie emailov. Z povahy svojho účelu ho môžeme klasifikovať za kritický prvok v informačnej infraštruktúre organizácie, nakoľko prípadná kompromitácia umožňuje útočníkom čítať súkromné emaily, alebo v sofistikovanejšom prípade dokonca manipulovať s jednotlivými emailmi bez vedomia organizácie, čo je relatívne častá forma útoku, označovaná aj ako „CEO Fraud“, s ktorou sa na nás obracajú spoločnosti, kedy útočník podvrhne falošné čísla účtov vo faktúrach a peniaze odídu na účet útočníkom.
Bezpečnostné zraniteľnosti nie sú ničím výnimočné ani v zdanlivo bezpečných produktoch ako je Exchange a každým dňom sa objavujú rádovo stovky až tisíce nových. Aj preto by sa malo pri integráciách obdobných systémov rátať s dodatočnými a nezávislými ochrannými prvkami, ako napríklad umožnenie prečítania pošty len cez tunelované pripojenie (VPN), alebo s dodatočnou autorizáciou cez tzv. proxy server, pričom dvojfaktorová autentifikácia je samozrejmosť. Alarmujúcou skutočnosťou ale je, že väčšina firiem na Slovensku nielen že nevyužíva dodatočné ochranné prvky, ale najmä podceňuje pravidelnú starostlivosť o svoje systémy a rýchlosť reakcie na novo vydané kritické aktualizácie a záplaty.
Pritom sú to tie „obľúbené“ aktualizácie, ktoré priamo mitigujú novoobjavené zraniteľnosti a sú tým absolútnym minimom, ako udržať svoj systém relatívne bezpečným.
V januári 2021 detegovala US spoločnosť Volexity podozrivé anomálie v prevádzke Exchange serverov svojich klientov. Následná bezpečnostná investigácia odhalila alarmujúce skutočnosti poukazujúce na využívanie neznámych a nových zraniteľností nulového dňa (0day) týkajúcich sa verzií Exchange Server 2016 a 2019, ktoré v štandardnej konfigurácií umožňujú užívateľom pristupovať cez webový prehliadač do svojej emailovej schránky (tzv. OWA). Po zreťazení týchto zraniteľností je umožnená útočníkovi takmer plná kontrola emailového servera, umožňujúca nielen čítanie akejkoľvek pošty a to bez znalosti hesla, ale aj poslúžiť ako vstupná brána do cielej siete a ovládnutie domény. V niektorých prípadoch, jediné, čo k tomu útočník potrebuje, je znalosť emailovej adresy obete.
Štandardným postupom pri objavení neznámej zraniteľnosti je čo najrýchlejšie informovanie spoločnosti stojacej za zraniteľným produktom, pričom bezpečnostní výskumníci sú motivovaní častokrát aj znateľnou finančnou odmenou za objavené zraniteľnosti (tzv. Bug-bounty program). Samozrejmosťou je dodržanie tzv. responsible disclosure pravidiel o mlčanlivostido doby, dokiaľ nebudú vydané záplaty.
Podľa Microsoftu sú prvotné útoky prisudzované kyberšpionážnej skupine Hafnium, s údajnými blízkymi väzbami na čínsku vládu. Pre prvotné krytie a sťaženie investigácie boli použité kompromitované privátne virtuálne servery prevádzkované v US.
Microsoft vydal ku 2. marcu aktualizácie, ktoré opravovali tieto zraniteľnosti. Aj napriek nezverejnenému detailného opisu zraniteľnosti trvalo len pár hodín, kedy zraniteľnosti boli znova preskúmané inými skupinami a následne začali byť početne zneužívané naprieč všetkými dostupnými exchange serverami.
Motivácia útočníkov je jasná – získať obsah a prístup k vašej pošte. Následne sa dajú zraniteľnosti ďalej amplifikovať, napr. podvrhovaním obsahu pošty, zašifrovaním a žiadaním výpalného, prípadne získať vaše prihlasovacie údaje aj do iných systémov a z kompromitovaného emailového servera sa presunúť na interne prevádzkované systémy, alebo iné. Možnosti sú takmer neobmedzené.
Microsoft Exchange Server je celosvetovo hojne rozšírené emailové riešenie, používané v stovkách tisícov organizácií stovkami miliónov ľudí. Analýzou slovenského kyberpriestoru sme identifikovali jeho použitie rádovo v stovkách organizácii aj na Slovensku. Nájdeme ho najmä v spoločnostiach, ktoré sa ešte nepresunuli do cloudových riešení (Office365), alebo paradoxne v spoločnostiach, ktoré sa zámerne bránia presunu do cloudových služieb z dôvodu straty úplnej kontroly nad fyzickou prevádzkou svojich systémov.
Našou úlohou je dohliadať nad kybernetickou bezpečnosťou monitorovaním hlásení z prevádzky informačných systémov klientov a zabraňovať útokom práve aj vďaka analyzovaniu anomálií, napríklad nezvyčajné pokusy o prihlásenie, alebo neštandardné chovanie užívateľov a pod. Akékoľvek vzniknuté incidenty následne okamžite riešime priamo s klientom, vďaka čomu sme boli schopní včasne zachytiť a reagovať na útoky na infraštruktúry našich zákazníkov ešte pred vydaním aktualizácií.
Po vydaní aktualizácií, Microsoft vydal zároveň aj nástroj na detekciu predošlej kompromitácie, nakoľko samotné nainštalovanie aktualizácie, v prípade už úspešne prebehnutého útoku, neeliminuje prítomnosť útočníka a treba podniknúť osobitnú investigáciu kompromitovaného systému.
Veľmi rýchlo sme začali byť oslovovaní rôznymi spoločnosťami, najmä z okolitých krajín, ktoré zistili stopy prítomnosti útočníka vo svojej infraštruktúre, ktorým následne pomáhame v rámci DFIR (tzv. DFIR – Digital Forensics and Incident Response).
V Binary Confidence sme sa rozhodli proaktívne preverovať stav situácie na Slovensku a ku dnešnému dňu detegujeme ešte viac ako 170 zraniteľných exchange serverov firiem rôznych veľkostí, s potenciálnym dopadom na tisíce, až desiatky tisíc zamestnancov. Následne sa snažíme s prevádzkovateľmi týchto serverov skontaktovať a informovať o zraniteľnosti ich systému s odporúčaním na okamžitú aktualizáciu, bez nároku na honorár. Hrozba zneužitia v prípade neaktualizovaného exchange servera dramaticky rastie každú sekundu a možno predpokladať, že vyššie uvedené servery sú už dávno kompromitované. Čoraz častejšou hrozbou, ktorú evidujeme, sú najmä situácie, kedy organizácie ani netušia, že ich systémy boli kompromitované a oslovujú nás až keď je neskoro.
Michal Korchaník
Senior Security Analyst
Binary Confidence s.r.o.
Spitalska 53, 811 01 | Bratislava Slovak Republic