近期,Microsoft Exchange Server中四个关键的0 day漏洞的披露可谓震惊了整个信息安全社区,而利用这些漏洞的攻击活动的迅速增长也加剧了人们的担忧。
据悉,这4个0 day漏洞分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858以及CVE-2021-27065。
其中,CVE-2021-26855是Microsoft Exchange Server中的SSRF漏洞,未经身份验证的远程攻击者可以通过将特制的HTTP请求发送到易受攻击的Exchange Server来利用此漏洞。
CVE-2021-26857是Microsoft Exchange中的不安全的反序列化漏洞。具体来说,该漏洞存在于Exchange统一消息服务中,该服务除了其他功能外还启用了语音邮件功能。要利用此漏洞,攻击者需要使用管理员权限向易受攻击的Exchange Server进行身份验证,或者首先利用另一个漏洞。成功的利用将授予攻击者任意的代码执行权限(SYSTEM)。
CVE-2021-26858和CVE-2021-27065都是Microsoft Exchange中的任意文件写入漏洞。这些缺陷是身份验证后的,这意味着攻击者首先需要向易受攻击的Exchange Server进行身份验证,然后才能利用这些漏洞。一旦通过身份验证,攻击者便可以任意写入易受攻击的服务器上的任何路径。
安全专家分析发现,利用这些漏洞的入侵行为至少可以追溯到2021年1月。它们最初是属于有针对性的攻击,像是出于间谍目的:攻击者主要针对特定的电子邮件账户。在一篇博文中,Microsoft将对这些缺陷的利用归因于一个名为“HAFNIUM”的国家背景资助的黑客组织。微软博客称,该组织历来以美国机构为目标,其中包括“传染病研究人员,律师事务所,高等教育机构,国防承包商,政策智囊团和非政府组织”。
然后,在2月的最后一个周末,研究人员注意到远程代码执行方面出现了显著增长的情况。攻击者正在将Web Shell写入磁盘并启动操作以转储凭据、添加用户帐户、窃取Active Directory数据库的副本以及横向移动到其他系统。这些活动的激增也进一步加速了补丁发布的进程。
仅在几天后,Microsoft就部署了其修补程序,同时,利用该漏洞的攻击行为仍在持续升级。Check Point的研究报告了针对全球组织的数百次利用尝试,在截至3月11日的24小时中,利用尝试的数量每两到三小时就会翻一番。其中,土耳其是受攻击最多的国家,其次是美国和意大利。
研究人员还发现,利用这些漏洞的组织远不止一个。ESET研究人员报告称,至少有十个APT组织已经在使用这些漏洞,有些人在Microsoft补丁发布之前就已经开始利用这些漏洞。
自从这些漏洞被发现以来,几乎每天都会出现有关攻击者扫描和利用这些漏洞实施攻击活动的新消息。Microsoft最近报告称,一种以受损Exchange服务器为目标的新型勒索软件也已应运而生。
接下来,我们将深入研究信息安全防御者在面临此类情况时需要了解的一些信息:为什么需要关注威胁态势,补丁程序面临哪些挑战,以及如何洞察妥协的相关迹象,以更好地帮助企业组织免受威胁影响。
1. 防御热门目标
DomainTools的威胁研究人员Joe Slowik表示,根据对手及其目标的不同,Microsoft Exchange Server历来是吸引人的攻击媒介。对于任何使用它的组织来说,它都是必不可少的组件,大多数组织都不想抛弃它,但是管理起来却又存在一定困难。
Slowik表示,从非技术角度来看,我们必须将Exchange视为一种高可用性,高需求的服务。
当然,电子邮件不仅限于员工之间的交流。电子邮件还与订购系统、报告系统以及各种其他功能相关。任何干扰该服务可用性的事情对于大多数企业来说都是不平凡的。Slowik解释称,
“Exchange是一个有趣的目标,其价值主要体现在两个方面:其一,其本身作为信息存储库(包括电子邮件形式的敏感信息)所具备的价值;其二,因为Exchange可以与网络中的每台计算机进行通话,所以它也可以作为恶意行为者的攻击入口,成为实现其最终目的的跳板。”
当然,Exchange服务器并不总是攻击者的最终目标,已经侵入目标组织的攻击者可以直接寻找域管理员或类似特权。虽然Exchange可能是实现此目标的有效途径,但大多数攻击者也可能会尝试潜入域控制器。
但是,这些Exchange漏洞使外部入侵者更容易在目标组织中获得广泛的访问权限。这无疑增加了攻击者对Exchange漏洞利用的兴趣,同时也加剧了企业组织必须采取行动的紧迫性。
2. 为什么这些漏洞如此危险
在这类外部可访问Exchange服务器的攻击中,它可能会成为远程访问邮箱的有效途径,这使得攻击者能够通过破坏管理员账户来进行企业电子邮件欺诈(BEC)和凭据网络钓鱼。
在Microsoft观察到的攻击中,攻击者利用这些漏洞获得了对本地Exchange服务器的初始访问权限,然后该访问权限允许对电子邮件帐户的访问,并协助安装其他可实现长期网络访问的恶意软件。许多人使用远程访问从目标中窃取大量数据,尤其是电子邮件。
由于每个企业组织都拥有电子邮件,并且Microsoft Exchange的使用如此广泛,因此这些攻击是非常严重的。更糟糕的是,这些服务器通常可以在开放的Internet上公开访问,并且可以被远程利用。
自从Microsoft在3月2日发布补丁程序以来,针对这些漏洞进行扫描和利用的攻击者活动数量猛增。使用ESET追踪威胁的研究人员已经在超过115个使用Web Shell的国家中发现了5,000多台独特服务器,并且他们报告称,至少有十个APT组织正在使用该漏洞来定位服务器。
3. 应用相关补丁
敦促组织尽快应用相关的安全更新。微软表示,这些漏洞会影响Exchange Server 2013、2016和2019版本,Microsoft Exchange Online不受这些漏洞的影响。
Red Canary的高级威胁主管Katie Nickels表示,
“对于任何组织来说,最明显的建议就是确保它们正在运行最新版本的Microsoft Exchange Server。特别是,他们必须要确保已经安装针对CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065漏洞的修补程序。”
Microsoft已经发布了有关这些安全更新的博客文章,并回答有关补丁程序安装的基本问题。据悉,该修补程序只能安装在运行最新版本的服务器上。如果企业运行的是较旧的Exchange服务器,则建议先安装最新版本,然后再安装安全更新。
对于那些仍在运行较旧版本Exchange的Microsoft用户,Microsoft已发布了一系列Exchange服务器安全更新,这些更新可用于某些较早且不受支持的版本。这是为了在攻击加剧时能够保护Exchange Server的旧版本。
由于利用这些漏洞需要通过Internet访问HTTP,因此建议用户首先在在线公开的Exchange服务器上安装更新,例如发布Outlook Web Access(OWA)的服务器,然后再更新环境的其余部分。
4. Exchange Server是如何解决补丁问题的
告诉企业组织打补丁很容易,但是对于许多组织来说,完成这一过程却十分复杂——尤其是如果它们与Exchange更新不配适。
补丁更新过程存在很多困难,而且Exchange也是一种非常贪婪的服务。尝试使用EDR产品以及其他类型的监视和可见性运行Exchange往往会变得非常昂贵且占用大量资源。如果你尝试调试和应用某种补丁,并在最小化影响的同时重新启用服务……这会是一件非常困难的事情。
当然,这并非不可能打补丁,但这就是大型组织通常都有专门的Exchange管理员的原因。没有这些资源的小型企业将度过更艰难的时期,i因为这些漏洞正在影响各种规模的组织。
对于那些无法立即修补其系统漏洞的企业组织,Microsoft已发布临时缓解控件来限制漏洞利用:创建Internet信息服务(IIS)重写规则,禁用统一消息服务以及禁用多个IIS应用程序池。Red Canary研究人员指出,这些措施可能会影响组织内部和外部Exchange服务的可用性,具体取决于组织使用的功能。虽然该临时缓解能够发挥一定效用,但是管理员不应将其视为永久性解决方案。
企业组织需要明确知道,未打补丁的服务器连接到网络的时间越长,受到威胁的风险也就越大。尽管至关重要,但遗憾的是,目前很多组织仍未应用补丁程序修复漏洞。
5. 损害可能已经完成
安装补丁程序是防范攻击的必要措施,但是我们却无法告诉管理员他们是否已经受到了攻击——更别说解决正在进行的攻击了。
如果Exchange服务器未打补丁并暴露在Internet上,那么企业应假设自己已经遭到攻击并立即检查攻击活动。Exchange攻击事件始于1月初,到补丁发布,攻击者足足有2个月的时间寻找目标实施入侵活动,这2个月的时间内,几乎没有人知道该问题的存在。
如果你本身是个极具吸引力的目标,那么不利因素已经相当明显了。这就意味着你不仅要调查过去几天甚至一周内发生的事情,甚至还需要回溯过去几个月内发生的事情。
在确定环境中所有本地Microsoft Exchange Server实例之后,FBI和网络安全与基础架构安全局(CISA)建议拥有专业知识的组织,可以使用收集工具对攻击组件进行取证分类,以收集系统内存、系统Web日志、Windows事件日志和所有注册表配置单元。 然后,他们应该检查这些攻击组件是否存在IOC或异常行为,例如凭证转储。
除此之外,还应该检查可疑的进程和系统行为,尤其是在IIS和Exchange应用程序进程(例如PowerShell、Command shell以及在应用程序的地址空间中执行的其他程序)的上下文中。
6. 寻找妥协的迹象
安全公司RedCanary报告称,研究人员观察到大多数攻击都涉及将Web Shell加载到文件系统上。一些攻击者会将其用于持久性和其他后续攻击活动中。因此建议企业组织对Web Shell进行监视和防御,这样既可以应对这种特定威胁,也可以应对未来可能发生的威胁。
Web Shell是一个非常棘手的安全问题,因为它们滥用服务器的固有特性来侦听和接收通过HTTP或HTTPS进行的远程通信。对于需要访问的服务来说,又不能简单地阻止这些服务及其连接。除非您能够完全控制给定的Web服务器并执行诸如跟踪文件写入到各种可访问目录的操作,否则Web Shell很难检测和根除。
通过深入了解和观察外部暴露的服务的正常行为,能够更轻松地辨别出异常行为。Exchange是一台服务器,而作为服务器,它将会接收来自各种客户的通信并对此做出响应。但是,如果你看到网络流量从电子邮件服务器流到台式机或域控制器,这就很奇怪了,必须进一步检查。
连接到这些植入Web Shell的Web服务器日志中的任何不熟悉的活动肯定表明存在问题,此外,用户权限或管理员用户的任何更改行为也可能会向防御者发出预警信号。跟踪此类活动最有效的方法是从外部验证漏洞,查找这些危害指标并监视服务器上的网络活动。
7. 减少攻击面
由于大多数“后漏洞利用阶段”(post-exploitation)活动的实例都涉及Web Shell部署,因此“预修补程序”(pre-patch)缓解策略可以消除通过(远程漏洞利用所需的)HTTPS从Internet对Exchange的直接访问。
虽然这将限制访问OWA等服务的便捷性,但组织可以通过虚拟网络或其他门户使这些服务可访问,从而缩小攻击面。总体而言,将OWA和其他面向外部的服务置于虚拟网络的防护之下,可以使恶意行为(例如尝试暴力破解或重用密码)变得更加困难,从而帮助减少攻击面。
当然,这只是减少攻击面,而不是消除攻击面。因为如果黑客知道仅需一个网络钓鱼手段就能进入目标环境,然后利用系统特权弹出Exchange,那么这种情况下,如果你正在本地运行Exchange的话,攻击者很容易就能实现全面的网络入侵。
8. 做好事件响应&缓解准备
鉴于攻击形势日趋严重化,预计越来越多的组织将需要转变为事件响应和缓解模式。
Sophos Managed Threat Response高级主管Mat Gangwer表示,如果发现任何异常或可疑的活动,企业组织首先需要确定自身的暴露程度,由此来决定下一步应该怎么做。你需要了解该攻击活动可能持续了多长时间或是已经造成了何种影响。Web shell的出现与补丁发布之间的时间差是多少?
一些组织可能会发起内部调查,另一些则可能会寻求外部事件响应团队的支持。CISA官员建议,在收集了相关的入侵组件、日志和数据以进行进一步分析之后,企业组织可以考虑获取第三方支持,并执行缓解步骤,避免让攻击者知道他们的踪迹已经暴露。
该官员表示,第三方组织可以在整个响应过程中帮助提供专业知识和技术支持,确保将攻击者从网络中移除,并避免在事件结束后出现任何会引发后续危害的残留问题。事件响应中存在几个常见的错误:无法保存关键日志数据,无法在响应者可以恢复数据之前缓解受影响的系统,而且仅能修复表面迹象,无法彻底解决问题。
如何知道到底什么时候进行事件响应?就目前的网络形势而言,企业组织不能等待问题的出现,而应该现在就行动起来,寻找网络中存在的问题,一旦发现任何迹象,立即开始更深入的检测。要知道,抢先攻击一步并试图缩短攻击者潜伏网络的时间将是问题的关键所在。越早检测到问题,响应就是变得越容易。
本文翻译自:https://www.darkreading.com/threat-intelligence/microsoft-exchange-server-attacks-9-lessons-for-defenders/d/d-id/1340400?image_number=2如若转载,请注明原文地址。