Microsoft retter kritiske 0-dagssårbarheder i Exchange Server

Sårbarhederne menes at være udnyttet i en angrebskæde af en kinesisk gruppe.

Microsoft retter flere Exchange Server-sårbarheder, der har været udnyttet i angreb fra en gruppe, kaldet Hafnium, som menes at operere fra Kina. Det skriver Dark Reading og en lang række medier. Også CISA har sendt en ”Current activity”-meddelelse ud om denne uden-for-cyklus rettelse.

0-dagssårbarhederne omfatter CVE’erne CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065. Microsoft opfordrer kunder til at opdatere deres lokale systemer med programrettelserne ’straks’ og siger, at sårbarhederne påvirker Microsoft Exchange Server-versioner 2013, 2016 og 2019. Exchange Online skulle ikke være berørt.

Detaljer offentliggjort i blogindlæg

De tekniske detaljer, herunder IoC’er, er offentliggjort i et blogindlæg fra Microsoft. Her fremgår det, at CVE-2021-26855 er en SSRF-sårbarhed (serverside-request), der gør det muligt for en hacker at sende vilkårlige HTTP-anmodninger og derefter godkende som Exchange-serveren. CVE-2021-26857 er en ’unsecure deserialization’-fejl i Unified Messaging-tjenesten; udnyttelse af dette gør det muligt for angribere at køre kode som SYSTEM på serveren.

CVE-2021-26858 og CVE-2021-27065 er begge ’post-authentication arbitrary file’ efter godkendelse i Exchange. Hvis angribere har kunnet godkende sig med Exchange-serveren, kunne de bruge disse fejl til at skrive en fil til enhver sti på serveren. Microsoft bemærker ifølge Dark Reading, at de først kunne godkende ved at udnytte SSRF-fejl CVE-2021-26855 eller ved at kompromittere administratorlegitimationsoplysninger.

Det fremgår, at Hafnium har brugt disse tidligere ukendte sårbarheder som en del af en angrebskæde. Indtil videre er dette den eneste trusselsaktør, som Microsoft har set udnytte sårbarhederne.

Microsoft opfordrer kunderne til at installere rettelserne.

Hvem er Hafnium?

Microsoft oplyser, at angrebet har været iværksat af Hafnium-gruppen, en statsstøttet trusselsaktør, der beskrives som været ’velkvalificeret og sofistikeret. Det fremgår, at Hafnium udfører det meste af sine operationer fra lejede virtuelle private servere i USA - hvor også de fleste af dets ofre er placeret.

Hafnium retter sig primært mod USA-baserede organisationer til at stjæle data på tværs af brancher. Det har tidligere været rettet mod advokatfirmaer, forskere inden for smitsomme sygdomme, institutioner for videregående uddannelser, forsvarsentreprenører, politiske tænketanke og ikke-statslige organisationer (NGO'er).

Links:

https://www.darkreading.com/threat-intelligence/microsoft-urges-businesses-to-patch-critical-exchange-server-flaws/d/d-id/1340305

https://us-cert.cisa.gov/ncas/current-activity/2021/03/02/microsoft-releases-out-band-security-updates-exchange-server

https://krebsonsecurity.com/2021/03/microsoft-chinese-cyberspies-used-4-exchange-server-flaws-to-plunder-emails/