Бэкапы и патчи, латающие дыры в безопасности, вот уже много лет остаются одними из наиболее проблемных вопросов в IT-сфере. И если с резервным копированием дела обстоят получше (хотя анекдот про сисадминов, которые не делают или уже уже делают бэкапы ещё долго будет актуален), то вот с безопасностью всё печально. История с Garmin лишнее тому подтверждение.
Финансирование по остаточному принципу, надежда на авось и другие факторы приводят к регулярным утечкам и взломам. Но воз и ныне там. Cloud4Y уже не раз делился весёлыми историями про утечки и взломы систем безопасности. И вот очередная история, которая лишь подтверждает инертность компаний в таком, казалось бы, важном вопросе, как безопасность данных.
В чём проблема
Ещё в феврале 2020 года Microsoft исправила уязвимость CVE-2020-0688, затрагивающую серверы Microsoft Exchange. Этот уязвимость безопасности присутствует в компоненте панели управления Exchange Control Panel (ECP) и позволяет злоумышленникам захватывать уязвимые серверы Microsoft Exchange, используя любые ранее украденные действительные учетные данные электронной почты. Чтобы подчеркнуть важность проблемы, компания добавила пометку уязвимости Exploitation More Likely Эксплуатация очень вероятна, намекая на то, что уязвимость является привлекательной целью для злоумышленников.
Опасный баг связан с работой компонента ECP. Exchange не может создавать уникальные криптографические ключи при установке, из-за чего прошедшие этап аутентификации злоумышленники получают возможность удалённо выполнять произвольный код с привилегиями SYSTEM и полностью скомпрометировать уязвимый сервер.
Непосредственно этап аутентификации, кстати, тоже не является проблемой. Злоумышленники могут пройти её с помощью инструментов сбора информации о сотрудниках компаний через LinkedIn. А затем использовать собранную информацию вкупе с credential stuffing, против Outlook Web Access (OWA) и ECP.
В феврале же специалисты по безопасности предупреждали активном сканировании сети в поисках уязвимых серверов Microsoft Exchange. Для осуществления атаки достаточно было обнаружить уязвимые серверы, найти адреса электронной почты, которые можно добыть через URL-адрес web-клиента OWA или собрать данные из предыдущих утечек. Если злоумышленнику удавалось перейти на сервер Exchange, он мог разглашать или подделывать корпоративные почтовые сообщения.
Два западных агентства по информационной безопасности NSA и CISA тоже выпустили предупреждения, призывавшие к скорейшей установке патча CVE-2020-0688, ссылаясь на случаи эксплуатации этой уязвимости группами хакеров.
Побурлили и забыли
Но, как это часто бывает, на шумиху обратили внимание не только лишь все (с). Большинство компаний проигнорировали угрозу. Специалисты ИБ-компании Rapid7 спустя пару месяцев использовали свой web-инструмент Project Sonar, чтобы обнаружить все общедоступные серверы Exchange в интернете. И результаты оказались весьма печальными.
Им удалось установить, что по меньшей мере 357 629 (82,5%) из 433 464 серверов Exchange по-прежнему открыты для атак, эксплуатирующих уязвимость CVE-2020-0688.
Некоторые из серверов, помеченные Rapid7 как защищённые от атак, могли по-прежнему быть уязвимыми, поскольку патч Microsoft обновлял не все сборки ОС. Но и это ещё не всё. Исследователи обнаружили почти 11 тысяч серверов под Microsoft Exchange 2007, использовавших ПО End of Support (EoS), чья поддержка прекратилась в 2017 году, и 166 тысяч серверов под управлением ОС Microsoft Exchange 2010, поддержка которой прекратится в октябре 2020 года. Вишенкой на торте стала информация о том, что к интернету подключено почти 31 тыс. серверов Microsoft Exchange 2010, не обновлявшихся аж с 2012 года, а на 800 из них ни разу не устанавливали обновления.
Кто виноват, решим позже. Что делать?
По-хорошему, нужно не только установить патчи, но определить, пытались ли злоумышленники использовать уязвимость. Так как для этого атакующие должны установить контроль хотя бы над одной учётной записью, любая учётная запись, связанная с попыткой эксплуатации, должна рассматриваться как взломанная.
Скомпрометированные учетные записи пользователей, которые использовались для атаки на серверы Exchange, можно обнаружить, проверив журналы событий Windows и IIS на наличие частей закодированных полезных данных, включая текст Invalid viewstate или строку __VIEWSTATE и __VIEWSTATEGENERATOR в запросах запросов в пути в каталоге /ecp.
Единственный выход, который стоит рассматривать как имеющий смысл, это установить патчи на своих серверах до того, как их обнаружат хакеры и полностью скомпрометируют всю вашу сеть. Иначе может потребоваться смена всех украденных учетных записей пользователей и паролей.
Ссылки на скачивание обновлений безопасности для уязвимых версий Microsoft Exchange Server, и соответствующие статьи из базы знаний доступны в таблице ниже:
Версия MS Exchange | Статья | Патч |
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 | 4536989 | Security Update |
Microsoft Exchange Server 2013 Cumulative Update 23 | 4536988 | Security Update |
Microsoft Exchange Server 2016 Cumulative Update 14 | 4536987 | Security Update |
Microsoft Exchange Server 2016 Cumulative Update 15 | 4536987 | Security Update |
Microsoft Exchange Server 2019 Cumulative Update 3 | 4536987 | Security Update |
Microsoft Exchange Server 2019 Cumulative Update 4 | 4536987 | Security Update |
Не забывайте про безопасность. Отсутствие защиты спустя несколько месяцев после выпуска патча это крайне печально.
Что ещё полезного можно почитать в блоге Cloud4Y
Искусственный интеллект поёт о революции
Какова геометрия Вселенной?
Нужны ли облака в космосе
Пасхалки на топографических картах Швейцарии
Победители конкурса стартапов The Europas Awards 2020
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу. Кстати, недавно мы провели вебинар на тему расчёта TCO для IT-проектов, где ответили на актуальные вопросы. Если вам интересно велком!