Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021
Компания Microsoft сообщает о проправительственной группировке, которая в настоящее время была замечена в массовых целевых атаках с использованием 0-day уязвимостей на почтовые серверы Microsoft Exchange Server крупных государственных компаний с целью кражи важных данных и получения удаленного контроля. На первом этапе злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации ранее неопубликованных уязвимостей (0-day). Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки, в настоящий момент — преимущественно с целью кражи данных. Аналогичные атаки наблюдаем и мы на территории РФ.
В связи с этим компания Microsoft выпустила срочные обновления безопасности для уязвимостей, которые используются в ходе атак:
· CVE-2021–26855 — SSRF-уязвимость в Exchange, позволяющая злоумышленникам посылать специальные HTTP-запросы для аутентификации на сервере
msrc.microsoft.com/update-guide/vulnerability/CVE-2021–26855
· CVE-2021–26857 — Insecure Deserialization уязвимость в Exchange, позволяющая выполнять на сервере Exchange код от SYSTEM
msrc.microsoft.com/update-guide/vulnerability/CVE-2021–26857
· CVE-2021–26858 — Arbitrary File Write уязвимость в Exchange, позволяющая после получения доступа к серверу Exchange записать файл в любом произвольном каталоге
msrc.microsoft.com/update-guide/vulnerability/CVE-2021–26858
· CVE-2021–27065 — Arbitrary File Write уязвимость в Exchange, позволяющая после получения доступа к серверу Exchange записать файл в любом произвольном каталоге
msrc.microsoft.com/update-guide/vulnerability/CVE-2021–27065
· CVE-2021–26412 — RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021–26412
· CVE-2021–27078 — RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021–27078
· CVE-2021–26854 — RCE-уязвимость в Exchange, позволяющая злоумышленнику исполнять произвольный код на сервере Exchange
msrc.microsoft.com/update-guide/vulnerability/CVE-2021–26854
Уязвимые версии Microsoft Exchange Server:
· Exchange Server 2013
· Exchange Server 2016
· Exchange Server 2019
Рекомендации
Оперативно установить обновления безопасности, так как есть свидетельства активной эксплуатации этих уязвимостей и высока вероятность, что в дальнейшем данные техники будут активно использоваться и другими группировками.
Обновления можно установить через Windows Update или в виде отдельного обновления KB5000871:
· Exchange Server 2013
www.microsoft.com/download/details.aspx? familyid=1255ecd7-b187–4839–96c9–1fc5e05df7b6
· Exchange Server 2016
www.microsoft.com/download/details.aspx? familyid=192fa60f-664a-4f3e-b19f-e295135e469b
www.microsoft.com/download/details.aspx? familyid=31211a48–0cef-462e-bb11-c36440f80bb3
· Exchange Server 2019
www.microsoft.com/download/details.aspx? familyid=2aadda14-b8aa-4370-a492–0a6818facce8
www.microsoft.com/download/details.aspx? familyid=18c75641-e53d-4979–8d5e-29a80674e41f
