ProxyLogon. Как работает уязвимость в Microsoft Exchange Server и как ее используют хакеры

Од­ной из пер­вых о проб­лемах в Exchange со­общи­ла ком­пания FireEye. По информа­ции вен­дора, от деятель­нос­ти хакеров пос­тра­дало мно­жес­тво аме­рикан­ских ком­мерчес­ких фирм, нес­коль­ко мес­тных орга­нов влас­ти в раз­ных шта­тах, а так­же один из уни­вер­ситетов и даже неназ­ванный иссле­дова­тель­ский центр. Кибер­прес­тупни­ки залива­ли на взло­ман­ные сер­веры Exchange веб‑шел­лы с целью неав­торизо­ван­ного дос­тупа, уда­лен­но выпол­няли код и отклю­чали работа­ющие в сис­теме средс­тва безопас­ности.

Вско­ре в Microsoft под­твер­дили наличие проб­лемы и сооб­щили, что зло­деи исполь­зуют в сво­их зло­дей­ских целях как минимум четыре ранее неиз­вес­тные уяз­вимос­ти нулево­го дня. Для устра­нения которых всем поль­зовате­лям Exchange Server нуж­но сроч­но уста­новить выпущен­ные ими пат­чи. Одна­ко всем извес­тно, что накаты­вание обновле­ний — дело небыс­трое, тре­бующее зна­читель­ных за­пасов пива вре­мен­ных зат­рат, и потому хакеры про­дол­жали рез­вить­ся на взло­ман­ных сер­верах в течение еще нес­коль­ких месяцев. Ата­ки на Exchange понем­ногу пош­ли на спад толь­ко к кон­цу нынеш­него мар­та. В чем же зак­лючались эти уяз­вимос­ти и как их исполь­зовали в сво­их целях зло­умыш­ленни­ки? Давай раз­берем­ся.

Что произошло?

По сооб­щени­ям ана­лити­ков из FireEye, хакеры исполь­зовали нес­коль­ко век­торов ата­ки. Все фай­лы на сер­верах Exchange соз­давались ими от име­ни сис­темной учет­ной записи NT AUTHORITY\SYSTEM, име­ющей в Windows повышен­ные при­виле­гии, а веб‑шел­лы запус­кались про­цес­сом еди­ной служ­бы обме­на сооб­щени­ями Microsoft Exchange UMWorkerProcess.exe. Родите­лем обна­ружен­ных иссле­дова­теля­ми на ском­про­мети­рован­ных сер­верах вре­донос­ных фай­лов ока­зал­ся про­цесс w3wp.exe, отве­чающий за веб‑интерфейс Exchange Server. Иссле­дова­тели из Microsoft приш­ли к выводу, что за все­ми эти­ми инци­ден­тами сто­ит некая хакер­ская груп­па под наз­вани­ем HAFNIUM, которая рань­ше уже была замече­на в ата­ках на аме­рикан­ские обо­рон­ные пред­при­ятия, юри­дичес­кие фир­мы, ана­лити­чес­кие цен­тры и лабора­тории по иссле­дова­нию инфекци­онных заболе­ваний. Пред­полага­ют, что эта груп­па свя­зана с пра­витель­ством Китая, но стоп­роцен­тных доказа­тель­ств это­му, разуме­ется, нет.

Ис­тория началась в янва­ре 2021 года, ког­да раз­работан­ная FireEye служ­ба Mandiant Managed Defense обна­ружи­ла на одном из сер­веров Microsoft Exchange подоз­ритель­ный веб‑шелл. Скрипт с незатей­ливым име­нем help.aspx пытал­ся отыс­кать на сер­вере инс­тру­мен­ты обес­печения безопас­ности FireEye xAgent, CarbonBlack и CrowdStrike Falcon и сох­ранял в жур­нал резуль­тат сво­ей работы.

Шелл был запущен про­цес­сом UMWorkerProcess.exe, который свя­зан со служ­бой еди­ной сис­темы обме­на сооб­щени­ями Microsoft Exchange Server. Для этих целей зло­умыш­ленни­ки вос­поль­зовались уяз­вимостью CVE-2021-26858, которую в Microsoft отнесли к катего­рии сред­ней сте­пени рис­ка.

Спус­тя при­мер­но двад­цать дней хакеры совер­шили новое зло­деяние, залив на сер­вер дру­гой веб‑шелл с име­нем iisstart.aspx. Этот скрипт был обфусци­рован и обла­дал более широким набором фун­кций: он поз­волял выпол­нять про­изволь­ные коман­ды, а так­же прос­матри­вать содер­жимое, уда­лять, заг­ружать на сер­вер и запус­кать фай­лы по желанию ата­кующих. Добить­ся жела­емо­го хакерам уда­лось с исполь­зовани­ем уяз­вимос­тей Microsoft Exchange Server.

Вско­ре ана­лити­ки FireEye обра­тили вни­мание еще на один инци­дент с запус­ком на сер­вере Exchange вре­донос­ного веб‑шел­ла. На сей раз свя­зан­ный с веб‑интерфей­сом Internet Information Server про­цесс w3wp.exe запус­тил коман­дную стро­ку (cmd.exe), а с помощью ее зло­умыш­ленни­ки, в свою оче­редь, сох­ранили на диск некий файл. Этим фай­лом ока­зал­ся небезыз­вес­тный инс­тру­мент China Chopper Web Shell, которым дав­но и успешно поль­зуют­ся китай­ские хакеры. Неболь­шой фай­лик весом все­го лишь 4 Кбайт откры­вает взлом­щикам дос­туп к фай­ловой сис­теме и базам дан­ных ском­про­мети­рован­ного сер­вера. По боль­шому сче­ту он пред­став­ляет собой ком­пак­тный бэк­дор, которым мож­но уда­лен­но управлять с помощью прос­той ути­литы с инту­итив­но понят­ным гра­фичес­ким интерфей­сом.

Кро­ме того, иссле­дова­тели уста­нови­ли, что в обо­их этих слу­чаях ата­кующие уда­ляли поль­зовате­ля administrator из груп­пы Exchange Organization administrators кон­трол­лера домена, к которо­му при­над­лежал ата­кован­ный сер­вер. Делалось это при помощи коман­ды net group "Exchange Organization administrators" administrator /del /domain. Если Exchange Server был раз­вернут в одно­ран­говой сети без под­клю­чения к AD, коман­да выпол­нялась локаль­но.

Вы­ясни­лось, что пос­ле успешно­го взло­ма хакеры исполь­зовали сле­дующие виды пос­тэкс­плу­ата­ции:

• кра­жа учет­ных дан­ных поль­зовате­лей с помощью дам­па памяти про­цес­са LSASS;
• ис­поль­зование оснасток Exchange PowerShell для экспор­та поль­зователь­ских поч­товых ящи­ков;
• ис­поль­зование инс­тру­мен­тов Covenant, Nishang и PowerCat для уда­лен­ного дос­тупа к взло­ман­ному сер­веру.

Всю добытую информа­цию зло­деи упа­ковы­вали с помощью архи­вато­ра 7zip и бла­гопо­луч­но ска­чива­ли со взло­ман­ных узлов. Ины­ми сло­вами, на началь­ном эта­пе основной целью ата­кующих был сбор информа­ции на ском­про­мети­рован­ных сер­верах и хищение кон­фиден­циаль­ной поль­зователь­ской информа­ции.