На этой неделе компания Microsoft выпустила обновления безопасности для Exchange Server, которые устраняют набор из четырех уязвимостей, оцененных как серьезные и критические. Все проблемы ведут к удаленному выполнению произвольного кода и некоторые из них были обнаружены специалистами АНБ.
Новые баги затрагивают Exchange Server с 2013 по 2019, и, хотя нет никаких доказательств того, что они использовались в реальности, Microsoft считает, что злоумышленники, скорее всего, воспользуются ими и скоро создадут эксплоиты.
Уязвимости получили идентификаторы CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483. По словам эксперта Microsoft Кевина Бомонта (Kevin Beaumont), наиболее серьезные из них имеют критическую степень серьезности (9,8 баллов из 10 по шкале CVSS v3) и могут использоваться без аутентификации. Ещt один критический баг оценивается на 9 баллов из 10, наименее серьезный — 8,8 баллов.
Все баги получили исправления в рамках апрельского «вторника обновлений» Microsoft, который принес патчи для 108 уязвимостей, пять из которых представляют собой уязвимости нулевого дня (одна из них уже используется для атак).
По данным Microsoft, информация о следующих четырех уязвимостях была обнародована публично, но проблемы не использовались хакерами:
- CVE-2021-27091: уязвимость RPC Endpoint Mapper Service связанная с повышением привилегий;
- CVE-2021-28312: DoS-уязвимость Windows NTFS;
- CVE-2021-28437: уязвимость установщика Windows, связанная с раскрытием информации;
- CVE-2021-28458: уязвимость, связанная с повышением привилегий в библиотеке Azure ms-rest-nodeauth.
Еще одна уязвимость, обнаруженная исследователями «Лаборатории Касперского», использовалась злоумышленниками. Баг был найден в Desktop Window Manager и позволял повысить привилегии пользователя в системе, ему был присвоен номер CVE-2021-28310.
У исследователей есть данные об использовании этого эксплоита злоумышленниками, причем, возможно, сразу несколькими группировками (в частности, BITTER APT). Он позволяет атакующим повысить права пользователя в системе и затем выполнить произвольный код на устройстве жертвы. На данном этапе у экспертов «Лаборатории Касперского» нет полной информации обо всей цепочке заражения, но сообщается, что есть вероятность, что этот эксплоит используется совместно с другими браузерными эксплоитами для обхода песочниц или получения привилегий в системе.