Срочно. Эксплойт ProxyLogon PoC вызовет разрушительные кибератаки

Эксплойт ProxyLogon PoC вызовет разрушительные кибератаки. Фото: Pixabay

«CISA и ФБР оценивают, что злоумышленники могут использовать эти уязвимости для взлома сетей, кражи информации, шифрования данных с целью получения выкупа или даже проведения разрушительной атаки», — заявили агентства.— «Злоумышленники могут также продавать доступ к взломанным сетям в даркнете».

Атаки были в первую очередь нацелены на органы местного самоуправления, академические учреждения, неправительственные организации и коммерческие предприятия в различных отраслях промышленности, включая сельское хозяйство, биотехнологии, аэрокосмическую промышленность, оборону, юридические услуги, электроэнергетику и фармацевтику, что, по словам ведомств.

Считается, что десятки тысяч организаций, включая Европейское банковское управление и норвежский парламент, были взломаны, чтобы установить сетевой бэкдор, называемый веб-оболочкой China Chopper, который даёт злоумышленникам возможность взламывать почтовые ящики и удалённо обращаться к цели системы.

Агентства фиксируют быстрое расширение атак, нацеленных на уязвимые серверы Exchange. Инциденты начались 27 февраля, прежде чем уязвимости были исправлены Microsoft стали « неизбирательными и массовыми».

Исследователи выдвигают гипотезу, что хакерская группировка, разработавшая метод атаки, делилась или продавала код эксплойта, в результате чего другие группы могли его использовать.

2 марта 2021 года Volexity публично сообщила об обнаружении нескольких эксплойтов нулевого дня, в локальных версиях серверов Microsoft Exchange Server, при этом зафиксировав самую раннюю активность по эксплуатации в реальных условиях 3 января 2021 года.

Успешное использование этих недостатков в качестве оружия, называемое ProxyLogon, позволяет злоумышленнику получить доступ к серверам Exchange жертвы, захватить постоянный доступ к системе и контроль над корпоративной сетью.

Согласно анализу телеметрии ESET, более 5тыс.серверов электронной почты, принадлежащих компаниям и правительствам из более чем 115 стран, были затронуты вредоносной деятельностью, связанной с инцидентом. Голландский институт раскрытия уязвимостей (DIVD) сообщил во вторник, что он обнаружил 46 тыс. серверов из 260 тыс. во всем мире, которые не были защищены от активно эксплуатируемых уязвимостей ProxyLogon.

К сожалению, свидетельства указывают на тот факт, что развёртывание веб-оболочек активизировалось после выхода патча 2 марта. Вероятно, хакеры применили метод обратного проектирования обновлений Microsoft для поиска очередных уязвимостей безопасности.

«На следующий день после выпуска исправлений мы начали наблюдать, как многие другие злоумышленники массово сканируют и компрометируют серверы Exchange», — сказал исследователь ESET Матье Фау.— «Интересно, что все они являются APT-группами, ориентированными на шпионаж, за исключением одной группы, который, похоже, связана с известной кампанией по добыче монет (DLTminer). До сих пор неясно, как произошло распространение эксплойта, но неизбежно, что все больше и больше злоумышленники, в том числе операторы программ-вымогателей, рано или поздно получат к нему доступ».

Ситуацию ещё больше усложняет доступность того, что, по-видимому, является первым функциональным эксплойтом с открытой проверкой концепции (PoC) для уязвимостей ProxyLogon, несмотря на попытки Microsoft удалить эксплойты, опубликованные на GitHub за последние несколько дней.

«Я подтвердил, что существует общедоступная PoC для всей цепочки эксплойтов RCE», — сказал исследователь безопасности Маркус Хатчинс. — «В нем есть пара ошибок, но с некоторыми исправлениями я смог установить оболочку на свой тестовый ящик».

К выпуску PoC прилагается подробный технический отчёт исследователей, которые провели обратный инжиниринг CVE-2021-26855 для создания полностью функционирующего сквозного эксплойта, выявив различия между уязвимой и исправленной версиями.

Хотя исследователи намеренно решили опустить критически важные компоненты PoC, разработка также вызвала опасения, что техническая информация может ещё больше ускорить разработку рабочего эксплойта. Это в свою очередь, побудит больше злоумышленников начать свои собственные атаки.