Разработчики Microsoft опубликовали внеплановые исправления для четырех 0-day уязвимостей, обнаруженных в коде почтового сервера Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). В компании предупредили, что эти проблемы уже эксплуатируют китайские хакеры из группировки Hafnium. Чтобы атака сработала, злоумышленникам нужно лишь получить доступ к локальному серверу Microsoft Exchange через порт 443.
CVE-2021-26855 — SSRF-уязвимость, которая позволяла отправлять произвольные HTTP-запросы и обойти аутентификацию.
CVE-2021-26857 — проблема десериализации в службе Unified Messaging. Использование этого бага давало хакером возможность запускать код с правами SYSTEM на сервере Exchange. Для полноценной работы эксплоита требовались права администратора или другая уязвимость.
CVE-2021-26858 — уязвимость позволяющая записывать произвольные файлы (после аутентификации в Exchange).
CVE-2021-27065 — еще одна уязвимость для записи произвольных файлов (тоже после аутентификации в Exchange).
Ранее эта хак-группа атаковала разные американские организации, включая исследователей инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонных подрядчиков, политические аналитические центры и НПО.
Новейшие атаки Hafnium были зафиксированы уже в 2021 году, и они эксплуатировали все четыре уязвимости нулевого дня в Exchange. Хакеры использовали эти баги как звенья в цепочке эксплоитов, которая включала в себя обход аутентификации, получение прав администратора, а затем установку веб-шелла ASPX на скомпрометированных серверах.
Закрепившись на сервере Exchange, преступники похищали содержимое почтовых ящиков и адресных книг, передавая эту информацию на свой удаленный сервер (чаще всего для этих целей использовались файлообменники, вроде Mega).
Первыми атаки на серверы своих клиентов обнаружили специалисты компании Volexity, которые уже подготовили собственный отчет об этой вредоносной кампании. Также Microsoft сообщает, что получила предупреждение об атаках и от экспертов датской фирмы Dubex.
Наряду с перечисленными выше уязвимостями в Exchange разработчики устранили и три других ошибки (CVE-2021-27078, CVE-2021-26854 и CVE-2021-26412), обнаруженные в ходе расследования инцидентов.
Инженеры Microsoft рекомендуют администраторам установить патчи как можно скорее, или хотя бы обезопасить порт 443 от возможных атак.
