Короткий переказ подій: якщо ваша корпоративна пошта на Microsoft Exchange і ви розміщуєте її у «наземному» датацентрі, – є високі шанси, що це вже не ваша корпоративна пошта. В продукті було знайдено низку критичних вразливостей безпеки, які активно використовуються кількома хакерськими групами. Одна з таких груп, що має назву HAFNIUM та напряму пов’язана з китайським урядом, ймовірно першою розробила багатоетапний експлойт та вже встигла скомпрометувати з його допомогою понад 30,000 поштових серверів, в тому числі в чисельних державних установах США. І не дивно, адже за спостереженнями компанії Volexity активна експлуатація цих вразливостей нульового дня розпочалася ще 6 січня цього року.
Такого масового зараження серверного програмного забезпечення, Microsoft не дарувала нам дуже давно. Атака досить складна в плані пошуку та склейки відповідних вразливостей в один цілісний експлойт, але з цього моменту все дуже легко автоматизується. Перша вразливість типу Server-Side Request Forgery у вебінтерфейсі поштовика дозволяє будь-кому в інтернеті змусити Exchange звернутися до контрольованого зловмисником комп’ютера та представитися за допомогою системних облікових даних сервера. Друга вразливість – небезпечна десереалізація у сервісі Unified Messaging – дозволяє зловмиснику виконати довільний код з системними привілеями. А третя та четверта вразливості дозволяють записувати довільні файли будь-де в операційній системі.
Після успішної компрометації, на сервері розміщується веб-шелл на ASP, виконується певна постексплуатаційна робота, а також закачуються цікаві дані про організацію та її працівників. З деталями атаки можна ознайомитися на безпековому блозі Microsoft. Все це дуже трагічно для будь-якої організації, що використовує «безхмарний» Exhange. Єдине, чим нас радує Microsoft, це оперативність та відносна прозорість комунікації про вразливість. Компанія опублікувала способи тимчасового блокування атаки та інструмент для пошуку ознак компрометації. Я рекомендую скористатися цими інструментами усім адміністраторам наземних серверів Exchange.
Також, Microsoft випустила низку оновлень для усіх версій Exchange починаючи з 2010. Це звісно добре, але виправлення вразливостей у продуктах, які вже не підтримуються вендором, свідчить про те, що застарілі версії Exchange активно використовуються в державних установах та великих корпораціях.
Ключові висновки, які я раджу зробити з цього кожному CISO.
1. Якщо поштовик у вас в підвалі, тому що фізичний контроль дає вам ілюзію безпеки, вам варто повернутися з дев‘яностих в сучасність. Ви ніколи не зможете захистити свій датацентр так, як це зробить Гугл чи Майкрософт. До речі і Supply Chain атаки в хмарі значно менш масштабні, адже вони своє лайно запатчать значно швидше, ніж ви ваше. Ми навіть не знаємо чи був вразливий хмарний Exchange – так швидко відбулося виправлення.
2. Software is eating the world (C), Appsec is eating security. Вразливості Server-Side Request Forgery, Insecure Deserialization & Arbitrary File Write: вони навіть не всі входять в OWASP Top 10, а ефект від їхнього використання – десятки, а може й сотні тисяч скомпрометованих інфраструктур. Яка різниця, вам втулили бекдор через оновлення від довіреного вендора, чи у вас просто зручна дірка в огорожі?
3. Вся ця паніка ідеально демонструє відмінності між американською, китайською та російською доктриною ведення операцій в кіберпросторі. Росіяни поводяться нахабно, із зневагою до оточуючих, як той п‘яний друг, за якого всім соромно. Китайці роблять все чисто та акуратно, з хірургічною точністю, так щоб потім було важко щось їм пред‘явити. Американці роблять так, що нікому навіть не видно, допоки вони вам самі про це не скажуть, або коли їхні інструменти п‘яти-семирічної давнини не витікуть з якогось забутого (знов ж таки, у підвалі) сервера.