Luka w MS Exchange Server: uwierzytelnianie wieloskładnikowe może nie powstrzymać ataków, ostrzega Microsoft

Nawet jeśli konto Exchange ma włączone uwierzytelnianie wieloskładnikowe, osoba atakująca może wykorzystać tę lukę w zabezpieczeniach kont e-mail. Firma Microsoft wydała aktualizacje zabezpieczeń dla serwera pocztowego Exchange, które należy zainstalować. Aktualizacje zabezpieczeń dotyczą luk w Exchange Server 2013, 2016 i 2019 — lokalne wersje Exchange, które zostały zhakowane na początku tego roku przez grupę hakerską, którą Microsoft nazywa Hafnium i jest ona powiązana z Pekinem. Wykorzystano cztery luki w lokalnym serwerze Exchange, natomiast teraz Microsoft ostrzegł, że jedna nowo załatana luka – oznaczona jako CVE-2021-42321 – jest również podatna na ataki. Aktualizacje zabezpieczeń programu Exchange zostały wydane jako część wtorkowych aktualizacji firmy Microsoft z listopada 2021 r. dla systemu Windows, przeglądarki Edge, pakietu Office i pozostałych produktów Microsoft. „Błąd Exchange CVE-2021-42321 to „luka w uwierzytelnieniu serwera Exchange 2016 i 2019. Zalecamy natychmiastowe zainstalowanie tych aktualizacji w celu ochrony środowiska” — wskazał Microsoft w poście na blogu o nowych lukach systemu Exchange. „Luki te dotyczą lokalnych instancji serwera Microsoft Exchange, w tym serwerów w trybie hybrydowym. Klienci korzystający z usługi Exchange Online są już chronieni i nie muszą podejmować żadnych działań” — poinformował Microsoft. Ataki, które mają wpływ na użytkowników po uwierzytelnieniu, są bardzo ryzykowne, ponieważ dotyczą użytkowników, którzy uwierzytelnili się za pomocą legalnych, ale skradzionych poświadczeń. Niektóre ataki po uwierzytelnieniu mogą sprawić, że uwierzytelnianie dwuskładnikowe stanie się bezużyteczne, ponieważ złośliwe oprogramowanie wykonuje swoją sztuczkę po uwierzytelnieniu użytkownika przy użyciu drugiego faktora. Osoby atakujące z Chin uzyskały dostęp do serwerów Exchange za pośrednictwem czterech błędów lub skradzionych danych uwierzytelniających, uzyskali dostęp do web shell’a — interfejsu wiersza poleceń — do zdalnej komunikacji z zainfekowanym komputerem, przez co mogli przetrwać w systemie po wprowadzeniu łatki. Atakujący zazwyczaj szukają poświadczeń administratora, aby uruchomić złośliwe oprogramowanie, ale używają również połączeń, które nie są chronione przez VPN. Często atakowane są same VPN’y. Microsoft udostępnia szczegółowe instrukcje dotyczące aktualizacji, w tym aktualizacji zbiorczych (CU) dla programu Exchange Server 2013, 2016 i 2019. Microsoft potwierdził, że uwierzytelnianie dwuskładnikowe (2fa) niekoniecznie chroni przed atakującymi wykorzystującymi nowe luki Exchange, zwłaszcza jeśli konto zostało już przejęte.
„Ale rzeczywiście, 2FA może utrudnić uwierzytelnianie, więc pod tym względem może„ pomóc ”. Ale powiedzmy, jeśli istnieje konto z 2FA, które zostało naruszone – cóż, w takim przypadku nie miałoby to żadnego znaczenia ”, wskazał Bilic z Microsoftu.
W celu wykrycia włamań firma Microsoft zaleca wygenerowanie zdarzeń na serwerze Exchange z poziomu power shell’a:

Get-EventLog -LogName Application -Source „MSExchange Common” -EntryType Error | Where-Object { $_.Message -like „*BinaryFormatter.Deserialize*” }