CERT.LV ir konstatējusi veiksmīgus uzbrukumus MS Exchange serveriem Latvijā, kas veikti vairākas dienas pirms Microsoft publicēja atjauninājumus ievainojamību CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 novēršanai. Ietekmētas visas aktuālās MS Exchange versijas, uzbrukums vērsts pret web komponenti (OWA un ECP). Atsevišķos gadījumos kompromitēšana notikusi nepilnu stundu pirms atjauninājumu uzstādīšanas.
Rezultātā CERT.LV aicina uzskatīt visus MS Exchange serverus par kompromitētiem, līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais. Pārbaužu veikšanai CERT.LV iesaka izmantot sekojošus rīkus (jāizmanto abi!):
- https://github.com/microsoft/CSS-Exchange/tree/main/Security
- https://github.com/cert-lv/exchange_webshell_detection
CERT.LV uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja atjauninājumi tika uzstādīti, tiklīdz tie bija pieejami.
Kompromitēšanas gadījumā CERT.LV aicina:
- par to informēt CERT.LV;
- nosūtīt uz cert@cert.lv identificēto ļaunatūru, tiklīdz tā ir pamanīta, pat ja informācija sākotnēji ir nepilnīga;
- efektīvāka CERT.LV atbalsta saņemšanai pēc iespējas agrāk izveidot atmiņas attēlu (memory dump), ieteicamais rīks: https://github.com/Velocidex/WinPmem/releases/tag/v4.0.rc1
Jautājumu vai neskaidrību gadījumā aicinām sazināties, rakstot uz cert@cert.lv
Microsoft ārpus kārtas publicētie atjauninājumi:
Papildu informācija:
- https://media.cert.europa.eu/static/SecurityAdvisories/2021/CERT-EU-SA2021-013.pdf
- https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
- https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/
