Microsoft призывает клиентов обеспечить безопасность Exchange своими силами

Корпорация Microsoft призывает клиентов постоянно обновлять свои серверы Exchange , а также предпринимать шаги по укреплению среды, такие как включение расширенной защиты Windows и настройка подписи сертификата полезных данных сериализации PowerShell .

«Злоумышленники, желающие использовать незащищенные серверы Exchange, никуда не денутся. Существует слишком много неисправленных аспектов безопасности локальных сред Exchange, которые представляют ценность для желающих похитить данные или совершить другие вредоносные действия», — говорится в сообщении команды Microsoft Exchange.

Корпорация также подчеркнула, что предлагаемые меры по смягчению последствий являются лишь временным решением и что их может «оказаться недостаточно для защиты от всех вариантов атак». Разумеется, чтобы избежать большинства угроз, пользователям нужно своевременно устанавливать все обновления безопасности Exchange.

Атаки на Exchange очень доступны из-за ряда недостатков в безопасности программного обеспечения. Только за последние два года в Exchange Server было обнаружено несколько уязвимостей, в том числе ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell и обходной путь ProxyNotShell, известный как OWASSRF. Некоторые из этих уязвимостей широко используются в дикой природе (ITW).

Антивирусная компания Bitdefender в своём техническом обзоре , опубликованном 24 января, назвала Exchange «идеальной мишенью» для атак, а также рассказала о некоторых реальных атаках с использованием цепочек эксплойтов ProxyNotShell / OWASSRF с конца ноября 2022 года.

Архитектура протокола клиентского доступа Exchange

«В Exchange существует сложная сеть интерфейсных и серверных служб с устаревшим кодом для обеспечения обратной совместимости», — отметил Мартин Цугек из Bitdefender.

Также стоит отметить, что некоторые внутренние службы работают от имени самого Exchange Server, который обладает системными привилегиями. Эксплойты могут предоставить злоумышленнику несанкционированный доступ к удаленной службе PowerShell, эффективно прокладывая путь для выполнения вредоносных команд.

Атаки, использующие недостатки ProxyNotShell и OWASSRF, по сообщению Bitdefender, были нацелены на художественные, развлекательные, консалтинговые, юридические, производственные, риэлторские и оптовые предприятия, расположенные в Австрии, Кувейте, Польше, Турции и США.

«Эти типы атак с подделкой запросов на стороне сервера (SSRF) позволяют злоумышленнику отправлять обработанный запрос с уязвимого сервера на другие. Это открывает доступ к ресурсам или информации, которые в ином случае недоступны напрямую», — сообщается специалистами Bitdefender.

Считается, что большинство атак носят оппортунистический, а не целенаправленный характер. Кульминацией являются попытки развертывания веб-оболочек, а также программного обеспечения удаленного мониторинга и управления (RMM), таких как ConnectWise Control и GoTo Resolve.

Веб-оболочки не только предлагают механизм постоянного удаленного доступа, но также позволяют преступным организациям осуществлять широкий спектр последующих действий и даже продавать доступ другим группам хакеров с целью получения прибыли.

В некоторых случаях промежуточные серверы, используемые для размещения полезных нагрузок, уже были скомпрометированы самими серверами Microsoft Exchange, что позволяет предположить, что тот же метод мог быть применен для расширения масштабов атак.

Также были отмечены безуспешные попытки злоумышленников загрузить Cobalt Strike, а также имплант на базе Go под кодовым названием GoBackClient, который поставляется с возможностями сбора системной информации и создания обратных оболочек.

Злоупотребление уязвимостями Microsoft Exchange также было повторяющейся тактикой, используемой UNC2596 (он же Tropical Scorpius), вымогателями-операторами Cuba (он же COLDDRAW). Одна атака использовала последовательность эксплойтов ProxyNotShell для удаления загрузчика BUGHATCH.

«Хотя первоначальный вектор заражения продолжает развиваться, а злоумышленники быстро используют любую новую возможность, их действия после эксплуатации предсказуемы. Наилучшая защита от современных кибератак — это архитектура, основанная на глубокой защите», — сказал Цугек.