Как работает уязвимость в Microsoft Exchange Server и как ее используют хакеры

Неуязвимых программ не бывает — эта истина известна каждому. Но когда злоумышленники отыскивают в каком‑нибудь софте уязвимости нулевого дня, начинается веселье: и для пользователей, и для разработчиков, которым приходится в авральном режиме заделывать обнаруженные бреши. А если это происходит с очень популярным и широко распространенным ПО, веселье начинает приобретать оттенки драмы. Именно это и случилось с Microsoft Exchange Server в январе 2021 года.

Одной из первых о проблемах в Exchange сообщила компания FireEye. По информации вендора, от деятельности хакеров пострадало множество американских коммерческих фирм, несколько местных органов власти в разных штатах, а также один из университетов и даже неназванный исследовательский центр. Киберпреступники заливали на взломанные серверы Exchange веб‑шеллы с целью неавторизованного доступа, удаленно выполняли код и отключали работающие в системе средства безопасности.

Вскоре в Microsoft подтвердили наличие проблемы и сообщили, что злодеи используют в своих злодейских целях как минимум четыре ранее неизвестные уязвимости нулевого дня. Для устранения которых всем пользователям Exchange Server нужно срочно установить выпущенные ими патчи. Однако всем известно, что накатывание обновлений — дело небыстрое, требующее значительных ~~запасов пива~~ временных затрат, и потому хакеры продолжали резвиться на взломанных серверах в течение еще нескольких месяцев. Атаки на Exchange понемногу пошли на спад только к концу нынешнего марта. В чем же заключались эти уязвимости и как их использовали в своих целях злоумышленники? Давай разберемся.

ЧТО ПРОИЗОШЛО?

По сообщениям аналитиков из FireEye, хакеры использовали несколько векторов атаки. Все файлы на серверах Exchange создавались ими от имени системной учетной записи NT AUTHORITY\SYSTEM, имеющей в Windows повышенные привилегии, а веб‑шеллы запускались процессом единой службы обмена сообщениями Microsoft Exchange UMWorkerProcess.exe. Родителем обнаруженных исследователями на скомпрометированных серверах вредоносных файлов оказался процесс w3wp.exe, отвечающий за веб‑интерфейс Exchange Server. Исследователи из Microsoft пришли к выводу, что за всеми этими инцидентами стоит некая хакерская группа под названием HAFNIUM, которая раньше уже была замечена в атаках на американские оборонные предприятия, юридические фирмы, аналитические центры и лаборатории по исследованию инфекционных заболеваний. Предполагают, что эта группа связана с правительством Китая, но стопроцентных доказательств этому, разумеется, нет.

История началась в январе 2021 года, когда разработанная FireEye служба Mandiant Managed Defense обнаружила на одном из серверов Microsoft Exchange подозрительный веб‑шелл. Скрипт с незатейливым именем help.aspx пытался отыскать на сервере инструменты обеспечения безопасности FireEye xAgent, CarbonBlack и CrowdStrike Falcon и сохранял в журнал результат своей работы.

Фрагмент скрипта help.aspx, иллюстрация FireEye

Шелл был запущен процессом UMWorkerProcess.exe, который связан со службой единой системы обмена сообщениями Microsoft Exchange Server. Для этих целей злоумышленники воспользовались уязвимостью CVE-2021-26858, которую в Microsoft отнесли к категории средней степени риска.

Спустя примерно двадцать дней хакеры совершили новое злодеяние, залив на сервер другой веб‑шелл с именем iisstart.aspx. Этот скрипт был обфусцирован и обладал более широким набором функций: он позволял выполнять произвольные команды, а также просматривать содержимое, удалять, загружать на сервер и запускать файлы по желанию атакующих. Добиться желаемого хакерам удалось с использованием уязвимостей Microsoft Exchange Server.

Фрагмент скрипта iisstart.aspx, иллюстрация FireEye

Вскоре аналитики FireEye обратили внимание еще на один инцидент с запуском на сервере Exchange вредоносного веб‑шелла. На сей раз связанный с веб‑интерфейсом Internet Information Server процесс w3wp.exe запустил командную строку (cmd.exe), а с помощью ее злоумышленники, в свою очередь, сохранили на диск некий файл. Этим файлом оказался небезызвестный инструмент China Chopper Web Shell, которым давно и успешно пользуются китайские хакеры. Небольшой файлик весом всего лишь 4 Кбайт открывает взломщикам доступ к файловой системе и базам данных скомпрометированного сервера. По большому счету он представляет собой компактный бэкдор, которым можно удаленно управлять с помощью простой утилиты с интуитивно понятным графическим интерфейсом.

Утилита управления China Chopper имеет удобный графический интерфейс

Кроме того, исследователи установили, что в обоих этих случаях атакующие удаляли пользователя administrator из группы Exchange Organization administrators контроллера домена, к которому принадлежал атакованный сервер. Делалось это при помощи команды net group "Exchange Organization administrators" administrator /del /domain. Если Exchange Server был развернут в одноранговой сети без подключения к AD, команда выполнялась локально.

Выяснилось, что после успешного взлома хакеры использовали следующие виды постэксплуатации:

кража учетных данных пользователей с помощью дампа памяти процесса LSASS;
использование оснасток Exchange PowerShell для экспорта пользовательских почтовых ящиков;
использование инструментов Covenant, Nishang и PowerCat для удаленного доступа к взломанному серверу.

Всю добытую информацию злодеи упаковывали с помощью архиватора 7zip и благополучно скачивали со взломанных узлов. Иными словами, на начальном этапе основной целью атакующих был сбор информации на скомпрометированных серверах и хищение конфиденциальной пользовательской информации.

РАССЛЕДОВАНИЕ

Тщательное изучение этих атак началось сразу с нескольких сторон: с одной стороны раскопки возглавила компания FireEye, инструменты безопасности которой первыми и зафиксировали угрозу, с другой за лопаты взялись эксперты из корпорации Microsoft, авторству которой принадлежит уязвимый Exchange Server. Чуть позже к процессу подключилась ESET.

Исследователи установили, что, помимо HAFNIUM, к взломам с использованием уязвимостей Exchange Server могут быть причастны и другие хакерские группы китайского происхождения — LuckyMouse, Tick и Calypso. Киберзлодеи выполняли серию атак с использованием цепочки уязвимостей CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065, конечной целью которых становилось удаленное выполнение кода без проверки подлинности. Эта цепочка получила общее наименование ProxyLogon. На одном из взломанных серверов аналитики обнаружили целых два разных веб‑шелла, из чего сделали вывод, что сервер ломали с помощью одних и тех же уязвимостей две независимые группы хакеров, использующие для постэксплуатации разный инструментарий.

Одним из характерных признаков компрометации было появление в системе подозрительных процессов, родителем которых выступает процесс единой службы обмена сообщениями Exchange UMWorkerProcess.exe. Кроме того, следы вторжения могут быть обнаружены в журналах событий приложений Windows, поскольку использование ошибки десериализации в уязвимости CVE-2021-26857 приводит к регистрации ошибок службы единой системы обмена сообщениями MSExchange. В этих же журналах можно поискать события, связанные с запуском cmd.exe или консоли PowerShell процессом фронтенда IIS C:\Windows \System32\inetsrv\w3wp.exe. В свою очередь, уязвимость CVE-2021-26858 использовалась злоумышленниками для удаления файлов на сервере, в основном — ставших ненужными скриптов веб‑шеллов после успешной установки полезной нагрузки в виде бэкдоров.

Если сервер уже был взломан, следы присутствия на нем злоумышленников можно было обнаружить с помощью Sysmon, если поискать подозрительные файлы в непривычных местах. Для кражи пользовательских учетных данных злодеи создавали дамп памяти LSASS с помощью утилиты командной строки ProcDump, вызов которой также можно отследить в логах или с помощью Sysmon:

norm_id=WindowsSysmon label="Process" label=Create

command IN ["* -ma lsass*"]

Для экспорта данных почтовых ящиков пользователей Exchange Server атакующие использовали оснастку Exchange PowerShell, запуск которой легко определить, отслеживая события создания процесса в Sysmon или проанализировав журнал событий:

norm_id=WindowsSysmon label="Process" label=Create

image IN ["*\cmd.exe", "*\powershell.exe", "*\powershell_ise.exe"] command="*Add-PSSnapin Microsoft.Exchange.Powershell.Snapin*"

Если на сервере не отключен Windows Defender, появляется возможность определить вредоносную активность при обнаружении используемых атакующими скриптов и полезной нагрузки, которые Defender детектирует следующим образом:

Exploit:Script/Exmann.A!dha;
Behavior:Win32/Exmann.A;
Backdoor:ASP/SecChecker.A;
Backdoor:JS/Webshell;
Trojan:JS/Chopper!dha;
Behavior:Win32/DumpLsass.A!attk;
Backdoor:HTML/TwoFaceVar.B.

В целом вырисовывалась следующая картина. Злодеи отправляли на сервер специальным образом сформированный HTTP-запрос и благодаря уязвимости CVE-2021-26855 авторизовались на сервере. Затем с помощью остальных трех уязвимостей атакующие заливали на сервер веб‑шелл в виде файла .aspx, который запускался процессами w3wp.exe или UMWorkerProcess.exe. Эти скрипты, имевшие в разных случаях взлома разные имена, сохранялись в папку %temp% и запускались от имени привилегированной системной учетной записи NT AUTHORITY\SYSTEM. Получив веб‑шелл, атакующие получали доступ к командной строке или консоли PowerShell в контексте процесса w3wp.exe, а затем сохраняли на диск и запускали полезную нагрузку, в качестве которой выступали различные бэкдоры, а также широко известные Cobalt Strike и BEACON. В качестве последнего шага злоумышленники удаляли за собой файлы скриптов.

Общая схема атаки на Exchange Server

ПОСЛЕДСТВИЯ

В Microsoft незамедлительно выпустили заплатки для всех обнаруженных уязвимостей, которые хакеры использовали для атак на серверы Microsoft Exchange. Однако, поскольку установка обновлений — дело не мгновенное, а информация о дырах в безопасности Exchange Server быстро разлетелась по всему интернету, поиск и взлом непропатченных серверов вскоре превратился в подобие веселого спортивного состязания. Хакеры не только крали пользовательские данные, на скомпрометированные серверы устанавливали троян‑майнер DLTminer и другие вредоносные программы.

Среди пострадавших оказались такие организации, как Европейское банковское управление, Министерство труда и социальных дел в Чехии и почтовые отделения в Праге. Масла в огонь подлило и то обстоятельство, что в начале марта независимый исследователь из Вьетнама опубликовал на GitHub рабочий proof-of-concept эксплоита для этого набора уязвимостей. Буквально на следующий день этот эксплоит был удален с сайта, но ~~осадочек остался~~ интернет, как известно, помнит все, что однажды оказалось в публичном доступе.

Вскоре к майнерам добавился троян‑шифровальщик DearCry, который хакеры начали запускать на взломанных серверах. В начале марта пострадавших компаний насчитывалось шсть (в Австралии, Австрии, Дании, Канаде и США), но затем их число начало расти. К первому вымогателю добавился энкодер Black Kingdom, шифровавший файлы на сервере и требовавший за дешифровку выкуп в размере 10 тысяч долларов.

Поскольку положение с уязвимостями ProxyLogon выглядит серьезно и устрашающе, корпорация Microsoft выпустила не только обновления безопасности для Exchange Server, но и исправления для старых версий Exchange. Кроме того, инженеры Microsoft подготовили специальный скрипт PowerShell, предназначенный для проверки серверов Exchange на наличие веб‑шеллов и известных индикаторов компрометации.

Тем не менее картина по‑прежнему остается безрадостной. Согласно общедоступным данным, в настоящий момент в интернете работает более 282 тысяч серверов Microsoft Exchange, и многие из них по‑прежнему остаются уязвимыми. До тех пор пока системные администраторы не установят на все уязвимые серверы необходимый набор обновлений, взломы, скорее всего, будут продолжаться, а журнал «Хакер» будет радовать своих читателей новостями об очередных инцидентах, связанных с использованием злоумышленниками ProxyLogon.