About Teletype
Join
Cyber Squad
@cyber_squad
October 18, 2023

Уязвимости Exchange

🥷 Приветствую, друзья

Сегодня мы узнаем про такую волшебную штуку как Exchange.

Exchange - программный продукт для обмена сообщениями и совместной работы. Относится к продуктам компании Microsoft.

К основным функциям Exchange относят:

  • обработка и пересылка почтовых сообщений
  • совместный доступ к календарям и задачам
  • поддержка мобильных устройств и веб-доступ
  • интеграция с системами голосовых сообщений.

Но нам интересен Exchange с точки зрения безопасности. В прошлом году в Exchange обнаружили две уязвимости нулевого дня, которые пока не закрыты.
Уязвимость CVE-2022-41040 относится к классу Server-Side Request Forgery и позволяет авторизованному пользователю выполнять на сервере команды PowerShell.

Server-Side Request Forgery (подделка запроса на стороне сервера) — это тип эксплойта компьютерной безопасности, когда злоумышленник злоупотребляет функциональностью сервера, заставляя его получать доступ или манипулировать информацией в области этого сервера, которая в противном случае не была бы доступна злоумышленнику напрямую.

Вторая уязвимость, CVE-2022-41082, обеспечивает выполнение произвольного кода при наличии доступа к PowerShell. Соответственно, их комбинация позволяет получить полный контроль над почтовым сервером.

Исследователи писали:

«В первую очередь мы обнаружили веб-шеллы, большинство из которых были обфусцированы. Злоумышленники сбрасывали их на серверы Exchange. Используя специальный “user-agent“, мы обнаружили, что атакующие задействовали китайский кросс-платформенный инструмент Antsword с открытым исходным кодом, открывающий административный доступ к веб-шеллу»

Проанализировав всю цепочку атак, специалисты выяснили, что киберпреступники внедряют вредоносную библиотеку в память, а также копируют и запускают дополнительные пейлоады на заражённые серверы.

Для последнего применяется утилита WMIC.

Программа командной строки WMI (WMIC) предоставляет интерфейс командной строки для инструментария управления Windows (WMI). WMIC совместим с существующими оболочками и служебными командами.

Исследователи отметили, что злоумышленникам удалось скомпрометировать сети как минимум нескольких организаций. Ждём комментариев от представителей Microsoft, поскольку техногиганта должен оперативно принять меры.

В общем и целом, надо понимать, что эти уязвимости дают полный доступ к почтовым серверам, а поскольку Exchange используется в крупнейших компаниях, то риск взлома превышает все возможные шансы.

В дальнейших статьях мы поговорим про кибервойны на мировой арене, уязвимости в коде, также окунёмся в историю и расскажем про первые в мире взломы.

Будет крайне интересно и увлекательно!

🔥 Спасибо за прочтение, ставьте реакцию под постом

⚡️ Ссылка - Cyber Squad

🚀 Обучение - cyber-squad.pro

🥷 Задать вопрос - Fantom

Cyber Squad
October 18, 2023, 14:40
0 reactions
0 views