Microsoft Exchange - serwery zhakowane, pliki zaszyfrowane. Auć... [AKTUALIZACJA]

Microsoft zalicza ostatnio pech za pechem. Jeśli nie zepsuta aktualizacja Windows 10, to wyciek danych. A teraz kolejny duży problem.

Foto: Pixabay

Gang LockFile, specjalizujący się w ransomware, wykorzystuje niedawno odkryte luki w ProxyShell i... szyfruje domeny Windows na serwerach Microsoft Exchange. Te luki w ProxyShell są trzy:

  • CVE-2021-34473 — obejście ACL (Access Control Lists) spowodowane luką „Pre-auth Path Confusion”;
  • CVE-2021-34523 — podniesienie uprawnień w programie Exchange PowerShell Backend;
  • CVE-2021-31207 – po uwierzytelnieniu arbitralny zapis prowadzi do zdalnego wykonania kodu.
Microsoft Exchange - serwery zhakowane, pliki zaszyfrowane. Auć... [AKTUALIZACJA]

LockFile w działaniu. Foto: Marken

Znane są już od jakiegoś czasu, ale w kwieniu oraz maju zostały załatane przez Microsoft. Niestety, zostały one zreprodukowane - napastnicy za pomocą powłok internetowych instalują backdoora, który pobiera szkodliwy ładunek, czyli właściwe ransomware. Efektem działania są zaszyfrowane pliki, a jedyny, do którego można uzyskać dostęp, to LOCKFILE-README.hta. Nazwę tę poprzedza login ofiary. Aby dowiedzieć się o wysokości okupu oraz metodach zapłacenia, należy skontaktować się mailowo pod adresem: [email protected] Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce, doradza:

W związku z tym, że LockFile wykorzystuje zarówno luki Microsoft Exchange ProxyShell, jak i Windows PetitPotam NTLM Relay, administratorzy Windows muszą zainstalować najnowsze aktualizacje. Nieco bardziej kłopotliwe są ataki Windows PetitPotam, ponieważ w tym przypadku aktualizacja zabezpieczeń Microsoftu jest niekompletna. Dlatego warto użyć nieoficjalnej poprawki lub zastosować filtry NETSH RPC, które blokują dostęp do podatnych funkcji w interfejsie API MS-EFSRPC

Aby sprawdzić, czy serwer Microsoft Exchange został przeskanowany pod kątem luki ProxyShell, można wykonać zapytanie AzureSentinel:

  • W3CIISLog
  • | where csUriStem == "/autodiscover/autodiscover.json"
  • | where csUriQuery has "PowerShell" | where csMethod == "POST"

Ransomware LockFile nie tylko szyfruje pliki, ale również zajmuje znaczną część zasobów systemowych komputera i powoduje jego częściowe zawieszenie.

AKTUALIZACJA

Skan wykazał, że podatność ma co najmniej 50 tysięcy serwerów pocztowych. Microsoft odniósł się do sprawy, podając w oświadczeniu, że ciągle współpracuje z klientami w celu przypominania i upewniania się, że instalują oni najnowsze łatki bezpieczeństwa oraz przestrzegają zasad bezpieczeństwa. Po wykryciu zagrożenie wysłano do właścicieli serwerów przypomnienia o konieczności aktualizacji zabezpieczeń rozesłanych z zbiorczych pakietach z łatkami".

Zobacz również:

  • Windows 11 wprowadza przebudowaną aplikację Zdjęć
  • Luki w Microsoft Exchange umożliwiły atak na ponad 5 tysięcy serwerów

CISA (Cybersecurity and Infrastructure Security Agency) ostrzegła, że są dowody na wykorzystanie podatności przez osoby trzecie. Mało pocieszające jest również to, że badacz zabezpieczeń Orange Tsai nazwał luki w ProxyShell "czubkiem góry lodowej". Oznacza to, że istnieje więcej podatności, które mogą być jeszcze groźniejsze, ale póki co wiedzą o nich tylko zaawansowani użytkownicy.

Źródło: Marken