מערך הסייבר הלאומי: פגיעויות בשרת הדוא"ל Exchange מנוצלות ע"י תוקפים

מערך הסייבר הלאומי: פגיעויות בשרת הדוא"ל Exchange מנוצלות ע"י תוקפים
מאת: מערכת Telecom News, 3.3.21, 16:15

מערך הסייבר הלאומי קורא לארגונים ולעסקים להטמיע בדחיפות את עדכון האבטחה. הפגיעויות מנוצלות כבר בפועל (Zero Day) ע"י קבוצת תקיפה מדינתית. עדכונים בתחתית הכתבה. עדכון אחרון 14.4.21.

מערך הסייבר הלאומי מתריע מפני מספר פגיעויות חמורות, שהתגלו בשרת הדוא"ל Exchange מבית מיקרוסופט, הנפוץ מאוד בארגונים ובעסקים.

חברת מיקרוסופט פרסמה אתמול עדכוני אבטחה חריגים, מחוץ למחזור העדכונים הקבוע לטיפול בפגיעויות אלו, שמנוצלות כבר בפועל (Zero Day) ע"י קבוצת תקיפה מדינתית, ובפגיעויות נוספות.

הפגיעויות מוגדרות ע"י מיקרוסופט חמורות וניתנות למימוש בקלות ע"י תוקפים.

ניצול פגיעויות אלו לתקיפה עלול לגרום להרצת קוד מרחוק על השרת, דלף מידע, התקנת Webshell וכן תנועה רוחבית לרשת הארגונית.
 

המערך ממליץ לארגונים ולעסקים לבחון ולהתקין את העדכונים בהקדם האפשרי על כל שרתי ה-Exchange, ובפרט על שרתים הנגישים מרשת האינטרנט.

כ"כ, ממליץ המערך להגביל את הגישה לשרתי OWA, לדוגמה באמצעות שירות מסוג VPN עם הזדהות חזקה והצפנה מתאימה.

הנחיות והמלצות נוספות בנושא ניתן למצוא בהתרעה המלאה.

עדכון 7.3.21, 15:50: מערך הסייבר הלאומי הוסיף עדכונים בנושא - כאן.

עדכון 10.3.21, 17:45: מחקר של חברת אבטחת המידע ESET מגלה, שלמעלה מ-10 קבוצות תקיפה שונות מנצלות את הפגיעויות האחרונות ב-Microsoft Exchange כדי לתקוף את שרתי הדוא"ל.

החברה זיהתה יותר מ-5,000 שרתי דוא"ל, שהושפעו מהפעילות הזדונית הקשורה לאירוע. השרתים שייכים לארגונים, עסקים וממשלות כאחד, מרחבי העולם, כולל פרופילים גבוהים. לפיכך, האיום אינו מוגבל רק לקבוצת התקיפה עליה דווח כמנצלת העיקרית של הפגיעות, הפניום (Hafnium).

בתחילת מרץ פרסמה מיקרוסופט תיקונים עבור שרתי Exchange 2013 2016, ו-2019 המתקנים סדרה של פגיעויות בהרצת קוד מרחוק (RCE). הפגיעות מאפשרת לתוקף להשתלט על כל שרת Exchange אליו ניתן להגיע, ללא צורך בידיעת פרטי החשבון והכניסה, מה שהופך את שרתי Exchange המחוברים לאינטרנט לפגיעים במיוחד.

כאמור, נתוני הטלמטריה של החברה מסמנים את נוכחותם של webshells (תוכנות וסקריפטים זדוניים המאפשרים שליטה מרחוק בשרת באמצעות דפדפן אינטרנט) ביותר מ-5,000 שרתים ייחודיים בלמעלה מ-115 מדינות. החברה זיהתה יותר מ-10 גורמי איום שונים, שככל הנראה, מינפו את הפגיעות האחרונה כדי להתקין תוכנות זדוניות כמו webshells ודלתות אחוריות על שרתי הדוא"ל של הקורבנות. בחלק מהמקרים כמה גורמי איום כיוונו אפילו לאותו הארגון.

בין קבוצות האיום ניתן למצוא את: Tick, LuckyMouse, Calypso, Webstiic, Winnti Group, Tonto Team, ShadowPad Activity ועוד.

מתיה פאו, חוקר ב-ESET: "יום לאחר ששוחררו התיקונים, התחלנו לראות תוקפים סורקים שרתי Exchange פגועים. מעניין לדעת, שכל הקבוצות מתמקדות בריגול, למעט קבוצה אחת, שמתמקדת בקמפיינים של כריית מטבעות.

עם זאת, אנו, ככל הנראה, נראה יותר ויותר תוקפים, כולל מפעילי מתקפות כופר, שמשיגים גישה לשרתים הללו במוקדם או במאוחר. החוקרים שלנו הבחינו, שחלק מקבוצות התקיפה ניצלו את הפגיעות עוד לפני ששוחררו התיקונים. המשמעות היא, שנוכל להשליך את האפשרות, שקבוצות אלו בנו יכולות ניצול ע"י הנדסה הפוכה של עדכוני מיקרוסופט.

חשוב לתקן ולטפל בשרתי ה-Exchange (כולל אלה שלא חשופים לאינטרנט באופן ישיר) בהקדם האפשרי וללא דחיה. במקרים של סיכון, מנהלי המערכות צריכים להסיר את ה-webshells, לעדכן פרטי כניסה ולחקור אחר כל פעילות זדוניות נוספת. האירוע הוא תזכורת טובה לכך, שיישומים מורכבים כמו Microsoft Exchange, או SharePoint לא צריכים להיות פתוחים לאינטרנט".

עדכון: 15.3.21, 12:59: סופוס: תוקפים כבר מנצלים את פרצת Exchange / ProxyLogon באמצעות תוכנת הכופר DearCry
זה היה רק עניין של זמן עד שתוקפים יתחילו לנצל את פרצת ה-Exchange / ProxyLogon, וההתקפה הראשונה, כך מגלים היום חוקרי סופוס, היא DearCry, תוכנת כופר חדשה, שחוקרי החברה מנתחים את דרך הפעולה שלה.  

מארק לומן, מומחה תוכנות כופר בסופוס: "מנקודת מבט של התנהגות ההצפנה, DearCry הוא מה שמומחי החברה מכנים תוכנת כופר 'מעתיקה'. היא יוצרת עותקים מוצפנים של הקבצים המותקפים ומוחקת את המקור. הדבר מביא לכך, שהקבצים המוצפנים מאוחסנים באזור לוגי נפרד, וזה יכול לאפשר לקורבן לאחזר חלק מהנתונים – תלוי בזמן בו מערכת חלונות עושה שימוש חוזר באזורים הלוגיים שהתפנו.

תוכנות כופר תוקפניות יותר, המופעלות עע"יגורם אנושי, כגון Ryuk, ,REvil BitPaymer, Maze ו-Clop, משתמשות בהצפנה 'בו-במקום'. התקפות אלו מותירות את הקבצים המוצפנים באותו אזור לוגי, ובכך אינן מאפשרות אחזור שלהם באמצעות כלים לביטול מחיקה.

הצפנת DearCry מבוססת על מערכת הצפנה עם מפתח ציבורי. המפתח הציבורי מוטמע בתוך הקוד הבינארי של תוכנת הכופר, והמשמעות היא, שהתוכנה אינה צריכה ליצור קשר עם שרת הפיקוד והשליטה כדי להצפין את הקבצים. שרתי Exchange המוגדרים כדי לאפשר גישה מהאינטרנט רק לשירותי ה-Exchange עדיין יהפכו למוצפנים. ללא מפתח ההצפנה (אשר נמצא בבעלות התוקף) שחרור ההצפנה אינו אפשרי.

מעניין לראות, שגם WannaCry הייתה תוכנת כופר 'מעתיקה', ו-DearCry לא רק שחולקת עימה שם דומה, אלא גם פתיח קובץ דומה.

אנשי IT ואבטחה צריכים לנקוט בצעדים דחופים להתקנת עדכונים של מיקרוסופט, כדי למנוע ניצול של שרתי Microsoft Exchange. אם הדבר לא מתאפשר, יש לנתק את השרת מהאינטרנט או לנטר אותו באופן הדוק באמצעות צוות תגובה לאיומים".

עדכון 15.3.21, 17:01: מערך הסייבר הלאומי הוסיף עדכונים דחופים - כאן.

עדכון 16.3.21, 12:58: מערך הסייבר האומי שוב הוסיף עדכונים דחופים - כאן.

עדכון  14.4.21, 14:50: עדכון אבטחה דחוף לשרתי EXCHANGE - אפריל 2021.
אתמול פרסמה מיקרוסופט עדכוני אבטחה לאפריל 2021. בין העדכונים 4 עדכונים לפגיעויות בשרתי EXCHANGE העלולות לאפשר לתוקף הרצת קוד מרחוק. 2 מהפגיעויות אינן דורשות הזדהות. לאור האירועים האחרונים, בהם הותקפו שרתים מסוג זה, מומלץ לבחון ולהתקין בהקדם את עדכוני האבטחה הנ"ל, גם לאור העובדה, שאנו עומדים לפני סוף שבוע ארוך וייתכן כי כבר במהלכו יפורסם POC לפגיעויות. יודגש, שהתקנת העדכונים, שפורסמו בחודש מרץ, אינה מספקת כנגד פגיעויות אלו.