Operação Predador de Exchange
Índice:
HAFNIUM APT Explora Zero-Days do Microsoft Exchange para Roubar Dados e Instalar Malware
Em janeiro de 2021, pesquisadores de segurança da Violexity revelaram uma operação maliciosa de longo prazo lançada pelo HAFNIUM APT, afiliado à China, contra várias organizações não identificadas. Os agentes de ameaça exploraram um conjunto de vulnerabilidades zero-day anteriormente desconhecidas no Microsoft Exchange para acessar informações corporativas sensíveis e realizar outras ações nefastas após a intrusão.
Vulnerabilidades Zero-Day no Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
Pesquisadores relatam um total de quatro novos zero-days sendo explorados em campo durante a Operação Exchange Marauder.
O primeiro problema explorado por agentes de ameaça do HAFNIUM é um bug de falsificação de solicitação no lado do servidor (SSRF) (CVE-2021-26855) que pode permitir a um ator remoto não autorizado enviar solicitações HTTP arbitrárias para a porta 443 e autenticar-se como o servidor Exchange. Como resultado, os atacantes podem facilmente acessar as caixas de correio corporativas sem conhecimento especial da rede alvo.
O próximo problema zero-day usado durante a campanha é um bug de desserialização insegura (CVE-2021-26857) localizado no serviço de mensagens unificadas. Este furo de segurança permite que hackers executem código arbitrário como SYSTEM no servidor Exchange vulnerável. No entanto, a exploração bem-sucedida exige direitos de administrador ou outra falha para explorar primeiro.
Os dois zero-days restantes são bugs de gravação de arquivos arbitrários pós-autenticação (CVE-2021-26858, CVE-2021-27065) que permitem escrever um arquivo em qualquer caminho no servidor comprometido. A exploração exige autenticação, que pode ser conseguida via falha SSRF (CVE-2021-26855) ou despejando as credenciais de administrador.
Operação Exchange Marauder: Detalhes do Ataque
A Microsoft relata que atores apoiados pelo Estado chinês usaram a combinação dos zero-days mencionados acima para instalar web shells nos sistemas e despejar dados de e-mail junto com credenciais de administrador. Além disso, os adversários conseguiram acessar o livro de endereços offline (OAB) do Exchange. Todos os detalhes reunidos podem servir para reconhecimento adicional contra as organizações alvo.
Os fornecedores atacados durante a Operação Exchange Marauder permanecem não revelados. No entanto, as campanhas anteriores do HAFNIUM APT dão margem para suspeitar que organizações de alto perfil localizadas nos EUA possam estar em destaque. Anteriormente, os agentes de ameaça foram identificados comprometendo vários ativos nos EUA, incluindo aqueles referentes a empresas industriais, instituições educacionais, think tanks e organizações não governamentais.
Notavelmente, além do HAFNIUM APT, vários outros grupos de hackers voltados para a ciberespionagem foram identificados explorando zero-days do Microsoft Exchange em campo. Particularmente, a ESET avistou a exploração ativa da falha SSRF (CVE-2021-26855) contra entidades nos EUA, Alemanha, França e Cazaquistão.
Detecção e Mitigação
De acordo com o comunicado da Microsoft, as novas vulnerabilidades zerodays afetam versões do Microsoft Exchange Server 2010, 2013, 2016 e 2019. Os patches fora de banda foram lançados em 2 de março de 2021, por isso os usuários são instados a atualizar assim que possível.
Em vista da exploração ativa e para facilitar a detecção de ataques em tempo hábil, em colaboração com a Microsoft, a equipe da SOC Prime lançou urgentemente um conjunto de regras Sigma gratuitas para identificar possíveis atividades maliciosas relacionadas aos zero-days recém-descobertos.
Possível Exchange 0 Day Desconhecido Março 2021 (via web)
Possível Webshell HAFNIUM Março 2021 (via web)
Possível Exchange CVE-2021-26858 (via file_event)
Snapin do Powershell Exchange (via cmdline)
Possível Exchange CVE-2021-26858 (via audit)
Powershell Abre Socket Raw (via cmdline)
Evento de Queda Relevante de 0day do Exchange Desconhecido (via application)
UMWorkerProcess Criando Processo Filho Incomum CVE-2021-26857 (via cmdline)
Atualização de 18/03/2021: Para aprimorar a defesa proativa contra possíveis ataques explorando vulnerabilidades zero-day do Microsoft Exchange, o desenvolvedor ativo do Threat Bounty da SOC Prime Emir Erdogan lançou um conjunto de regras Sigma para a comunidade. Explore as detecções através dos links abaixo.
Acesso Pós-Exploração de Web-Shell para Servidores Exchange (Web Log User-Agents)
CVE-2021-27065 Explorados no Exchange Server para Implantar CHOPPER Webshell
Pós-Exploração do Microsoft Exchange Hafnium (via tarefa agendada e proxy)
Possível Criação de Arquivo por Processos Conhecidos Despejando Webshells CVE-2021-26858
Fique atento às últimas atualizações do Threat Detection Marketplace e não perca novos conteúdos SOC relacionados a esses problemas severos. Todas as novas regras serão adicionadas a este post.
Adquira uma assinatura gratuita do Threat Detection Marketplace, uma plataforma CaaS (Content-as-a-Service) líder mundial que agrega mais de 96.000 regras de Detecção e Resposta para defesa cibernética proativa. Quer criar seu próprio conteúdo de detecção? Junte-se ao nosso Programa Threat Bounty e contribua para as iniciativas globais de caça a ameaças.
