Kritická zranitelnost Microsoft Exchange Server
05.03.2021
Kritická zranitelnost Microsoft Exchange Server

​NÚKIB vydal upozornění na sadu závažných zranitelností postihující Microsoft Exchange Server.


Upozorňujeme na sadu závažných zranitelností postihující Microsoft Exchange Server, které umožňují bez autentizace a uživatelské interakce přístup k emailovým schránkám na serveru a následné vzdálené spuštění kódu. Dle informací Microsoftu jsou zranitelnosti s označením CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 a CVE-2021-26858 aktuálně aktivně zneužívány.

Zranitelnosti se týkají Exchange Server 2010, 2013, 2016 a 2019, služba Exchange Online zranitelná není.

Zranitelnosti opravují aktualizace vydané Microsoftem 2. března pro jednotlivé verze:

  • Server 2010 Service Pack 3 (Defense in Depth update)
  • Server 2013 Cumulative Update 23
  • Server 2016 Cumulative Update 18
  • Server 2019 Cumulative Update 7


Všem, kdo provozují Exchange server v uvedených verzích, doporučujeme bezodkladnou aktualizaci, zejména pokud je server přístupný z internetu.

Zneužití zvenčí lze zabránit omezením přístupu pouze pro důvěryhodné adresy, nebo skrytím za VPN, aktualizaci nicméně důrazně doporučujeme i v tomto případě pro zamezení zneužití z vnitřní sítě.

Níže naleznete seznam indikátorů kompromitace a postupů k prověření. Dle informací NÚKIB mohly být zranitelnosti zneužívány již od ledna 2021, kontrolu tedy doporučujeme provést zpětně nejméně od 1.1.2021. Upozorňujeme také, že nainstalování aktualizace nevyřeší situaci, kdy už je server kompromitován.

S odkazem na varování CISA a analýzu společnosti Volexity a Microsoft doporučujeme:

1) Prověřit komunikaci s adresami uvedenými níže v rámci vašich systémů.

2) Prověřit výskyt podezřelých HTTP POST dotazů na:
/owa/auth/Current/themes/resources/logon.css
/owa/auth/Current/themes/resources/owafont_ja.css
/owa/auth/Current/themes/resources/lgnbotl.gif
/owa/auth/Current/themes/resources/owafont_ko.css
/owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
/owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf
/owa/auth/Current/themes/resources/lgnbotl.gif

3) Prověřit výskyt řetězce "S:CMD=Set-OabVirtualDirectory.ExternalUrl='" v ECP logu:
Umístění logu: <exchange install path>\Logging\ECP\Server\.

4) Prověřit přítomnost webshell .aspx souborů v následujících adresářích (hashe souborů uvedeny níže):
\inetpub\wwwroot\aspnet_client\ - jakýkoliv .aspx soubor ve složce a všech podsložkách
\<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ jakýkoliv soubor kromě TimeoutLogoff.aspx
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\ - jakýkoliv soubor, který není součástí běžné instalace
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ - jakýkoliv .aspx soubor ve složce a všech podsložkách
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ - jakýkoliv .aspx soubor ve složce a všech podsložkách

5) Prověřit výskyt nelegitimních .dll nebo .aspx souborů potenciálně vytvořených v návaznosti na POST dotazy v adresářích:
 C:\Windows\Microsoft.NET\Framework64\<version>\Temporary ASP.NET Files\root\
 C:\Windows\Microsoft.NET\Framework64\<version>\Temporary ASP.NET Files\owa\

6) Prověřit přístupy nestandardních User-agents, zejména:
DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htmM
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.htm
Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36

Síťové indikátory kompromitace:

  • 103.77.192[.]219
  • 104.140.114[.]110
  • 104.250.191[.]110
  • 108.61.246[.]56
  • 149.28.14[.]163
  • 157.230.221[.]198
  • 167.99.168[.]251
  • 185.250.151[.]72
  • 192.81.208[.]169
  • 203.160.69[.]66
  • 211.56.98[.]146
  • 5.254.43[.]18
  • 5.2.69[.]14
  • 80.92.205[.]81
  • 91.192.103[.]43
  • 165.232.154[.]116
  • 45.77.252[.]175


Hashe webshell skriptů:

b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Techniky používané útočníky:

Exploit Public-Facing Application [T1190]
Web Shell [T1505.003]
Web Protocols [T1071.001]
Ingress Tool Transfer [T1105]
Exfiltration Over C2 Channel [T1041]
Domain Account [T1136.002]
Windows Command Shell [T1059.003]
LSASS Memory [T1003.001]
Archive via Utility [T1560.001]
Web Protocols [T1070.001]
Exploit Public-Facing Application [T1190]
Remote System Discovery [T1018]
System Information Discovery[T1082]
System Network Configuration Discovery [T1016]
System Service Discovery [T1007]
Permission Groups Discovery [T1069]

Metodiku k prověřování indikátorů naleznete na: https://nukib.cz/download/publikace/navody/navod_proverovani_IoC_v1.pdf.

Upozorňujeme, že seznam indikátorů není konečný ani určující, jedná se o informace dostupné k 4. 3. 2021. V případě potvrzené kompromitace kontaktujte GovCERT.CZ nebo CSIRT.CZ.

 

Zdroj:

https://nukib.cz/cs/infoservis/hrozby/1690-upozorneni-na-zranitelnosti-exchange-server/