Operazione Marauder Exchange
Indice:
HAFNIUM APT sfrutta le zero-day di Microsoft Exchange per rubare dati e installare malware
Nel gennaio 2021, i ricercatori di sicurezza di Violexity hanno rivelato un’operazione malevola a lungo termine lanciata dall’APT HAFNIUM affiliato alla Cina contro diversi organizzazioni non nominate. Gli attori delle minacce hanno sfruttato una serie di vulnerabilità zero-day precedentemente non divulgate di Microsoft Exchange per accedere a informazioni aziendali sensibili e svolgere altre azioni nefaste dopo l’intrusione.
Vulnerabilità Zero-Day in Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
I ricercatori riportano un totale di quattro nuove zero-day sfruttate in natura durante l’Operazione Exchange Marauder.
Il primo problema sfruttato dagli attori delle minacce di HAFNIUM è un bug di server-side request forgery (SSRF) (CVE-2021-26855) che potrebbe consentire a un attore non autorizzato remoto di inviare richieste HTTP arbitrarie alla porta 443 e autenticarsi come server Exchange. Di conseguenza, gli attaccanti possono facilmente accedere alle cassette postali aziendali senza una conoscenza speciale della rete bersaglio.
Il successivo problema zero-day utilizzato durante la campagna è un bug di deserializzazione non sicura (CVE-2021-26857) che risiede nel servizio Unified Messaging. Questa falla di sicurezza consente agli hacker di eseguire codice arbitrario come SYSTEM sul server Exchange vulnerabile. Tuttavia, lo sfruttamento riuscito richiede diritti amministrativi o un’altra falla da sfruttare prima.
Le due restanti zero-day sono bug di scrittura di file arbitrari post-autenticazione (CVE-2021-26858, CVE-2021-27065) che consentono di scrivere un file in qualsiasi percorso sul server compromesso. Lo sfruttamento richiede autenticazione, che potrebbe essere ottenuta tramite la falla SSRF (CVE-2021-26855) o scaricando credenziali di amministratore.
Operazione Exchange Marauder: Dettagli dell’attacco
Microsoft riporta che attori sostenuti dalla nazione cinese hanno sfruttato la combinazione delle zero-day menzionate sopra per installare web shell sui sistemi e scaricare dati e-mail insieme alle credenziali di amministratori. Inoltre, gli avversari sono riusciti ad accedere al libro degli indirizzi offline (OAB) per Exchange. Tutti i dettagli raccolti potrebbero servire per ulteriori attività di ricognizione contro le organizzazioni bersaglio.
I fornitori attaccati durante l’Operazione Exchange Marauder rimangono non divulgati. Tuttavia, le precedenti campagne dell’APT HAFNIUM danno motivo di sospettare che organizzazioni di alto profilo situate negli Stati Uniti possano essere nel mirino. In precedenza, gli attori delle minacce sono stati identificati a compromettere vari asset negli Stati Uniti, inclusi quelli relativi a imprese industriali, istituzioni educative, think tank e organizzazioni non governative.
In particolare, oltre all’APT HAFNIUM, sono stati identificati diversi altri gruppi di hacker mirati al cyber-spionaggio che sfruttano le zero-day di Microsoft Exchange in natura. In particolare, ESET ha individuato lo sfruttamento attivo della falla SSRF (CVE-2021-26855) contro entità negli Stati Uniti, in Germania, in Francia e in Kazakistan.
Rilevamento e Mitigazione
Secondo l’avviso Microsoft, le nuovezero-day interessano le versioni di Microsoft Exchange Server 2010, 2013, 2016 e 2019. Le patch fuori banda sono state rilasciate il 2 marzo 2021, quindi si esortano gli utenti ad aggiornare il prima possibile.
In vista dello sfruttamento attivo e per facilitare il rilevamento tempestivo degli attacchi, in collaborazione con Microsoft, il Team SOC Prime ha urgentemente rilasciato un insieme di regole Sigma gratuite per identificare possibili attività malevoli legate alle zero-day recentemente scoperte.
Possibile Zero Day Unknown Exchange Marzo 2021 (via web)
Possibile Webshell HAFNIUM Marzo 2021 (via web)
Possibile Exchange CVE-2021-26858 (via file_event)
Powershell Exchange Snapin (via cmdline)
Possibile Exchange CVE-2021-26858 (via audit)
Powershell apre Socket Raw (via cmdline)
Evento di Crash Rilevante Zero Day Exchange Sconosciuto (via application)
UMWorkerProcess creando un processo figlio insolito CVE-2021-26857 (via cmdline)
Aggiornamento dal 18/03/2021: Per migliorare la difesa proattiva contro possibili attacchi che sfruttano le vulnerabilità zero-day di Microsoft Exchange, il sviluppatore attivo di SOC Prime Threat Bounty Emir Erdogan ha rilasciato un insieme di regole Sigma comunitarie. Esplora le rilevazioni attraverso i link sottostanti.
Accesso Web-Shell Post-Sfruttamento ai Server Exchange (User-Agent Log Web)
CVE-2021-27065 Sfruttato su Server Exchange per Installare Webshell CHOPPER
Sfruttamento Attivo Marauder di Multipli Zero-Day di Microsoft Exchange (via WebServer)
Post Sfruttamento da Microsoft Exchange Hafnium (via scheduled task e proxy)
Possibile Creazione File da Processi Noti che Instalano Webshells CVE-2021-26858
Resta aggiornato sugli ultimi aggiornamenti del Threat Detection Marketplace e non perdere nuovi contenuti SOC relativi a queste gravi problematiche. Tutte le nuove regole verranno aggiunte a questo post.
Ottieni un abbonamento gratuito al Threat Detection Marketplace, una piattaforma leader mondiale di Contenuto come Servizio (CaaS) che aggrega oltre 96.000 regole di Rilevamento e Risposta per la difesa cibernetica proattiva. Vuoi creare il tuo contenuto di rilevazione? Unisciti al nostro Programma Threat Bounty e contribuisci alle iniziative globali di threat hunting.
