Как защититься от критических уязвимостей Microsoft Exchange Server

2 марта 2021 года компания Microsoft срочно выпустила обновление для Exchange Server 2010, 2013, 2016 и 2019, чтобы закрыть четыре критичные уязвимости.

В опубликованном материале Microsoft сообщила, что эти уязвимости могут использоваться против крупных компаний по всему миру. Злоумышленники получают удалённый доступ к серверам Exchange, откуда они могут выгрузить критически важные данные, в том числе почтовый ящик целиком.

При этом в Microsoft заявили, что опасность есть только для развёрнутых внутри инфраструктуры сервисов. Exchange Online вне зоны риска.

Разбираемся, что это за уязвимости и как от них защититься.

Уязвимости Microsoft Exchange Server

1. CVE-2021-26855. Позволяет подделывать запросы со стороны сервера — Server-Side Request Forgery (SSRF). Это даёт возможность обойти авторизацию. Злоумышленник отправляет подделанные запросы и с их помощью может удалённо запустить произвольный код на сервере.
2. CVE-2021-26857. Даёт возможность выполнить любой код от имени системы. Используется, чтобы получить на сервере привилегии системной учётной записи (SYSTEM).
3. CVE-2021-26858. Позволяет перезаписать любой файл в системе, заменить данные на сервере любыми другими данными.
4. CVE-2021-27065. Используется так же, как и предыдущая уязвимость.

Перечисленные CVE злоумышленники обычно используют в связке. Получается комплексная атака, позволяющая украсть важные данные и нанести серьёзный вред работе компании.

Как действуют злоумышленники

1. Атака идёт на серверы Exchange с открытым портом HTTP 443.
2. С помощью первой уязвимости (CVE-2021-26855) мошенники получают доступ и начинают действовать от имени захваченного сервера.
3. Дальше через вторую уязвимость (CVE-2021-26857) они получают привилегии SYSTEM и запускают вредоносный код на сервере.
4. Параллельно собираются данные учётной записи и хеши паролей.
5. С помощью уже полученных прав злоумышленники могут получить прямой доступ к контроллерам домена. Это даст им возможность расширить привилегии в домене и закрепиться там постоянно.
6. Мошенники ищут интересные для них данные и с помощью последних двух уязвимостей (CVE-2021-26858 и CVE-2021-27065) крадут их.

Как EdgeЦентр защищает своих клиентов от уязвимостей Microsoft Exchange Server

Мы предлагаем комплексную защиту веб-приложений, сайтов и серверов. Обезопасим вашу систему даже от сложных атак, использующих уязвимости Microsoft Exchange Server.

В основе нашей защиты — собственные центры фильтрации трафика. Все запросы к вашим серверам, в том числе и к сервисам MS Exchange, проходят через платформу и анализируются.

Если система обнаружит аномалии или некорректные данные, запросы тут же будут заблокированы. Так злоумышленники не смогут проникнуть в систему, запустить в ней вредоносный код или выгрузить какие-либо данные.

Что ещё можно сделать для защиты?

1. Обновите все серверы MS Exchange по всем доменам. Если установить патч в срочном порядке в вашей компании невозможно, попробуйте использовать обходные решения, которые предлагает Microsoft.

2. Запретите недостоверный доступ к серверам Exchange через порт 443. Так как злоумышленники проникают на серверы именно через этот порт, такая мера поможет остановить атаку на первом её этапе. Или вы можете в целом запретить подключения извне корпоративной сети.

Но этот метод поможет только от новых атак и будет бесполезен, если мошенники уже проникли на серверы.

3. Используйте скрипт PowerShell, который Microsoft выпустила специально для поиска признаков того, что ваши серверы были атакованы через эти уязвимости.

Чтобы проверить, проникли ли злоумышленники на серверы, нужно вручную выполнить команды в журналах Exchange HTTP Proxy, файлах журналов Exchange и журналах событий приложений Windows.

Если вы хотите проверить все серверы MS Exchange, вам нужно использовать команду:

Get-ExchangeServer | .\Test-ProxyLogon.ps1

Проверить локальный сервер можно с помощью команды:

.\Test-ProxyLogon.ps1

Если вы хотите сохранить результаты проверки, к данным командам вам нужно добавить:

-OutPath $home\desktop\logs

То есть, если вы проверяете все серверы Exchange и хотите сохранить результаты, команда будет выглядеть так:

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

4. Используйте скрипт nmap. Эксперт в области компьютерной безопасности Кевин Бьюмон создал его для поиска потенциально уязвимых серверов внутри вашего периметра. Скрипт несовершенен, сделан «на скорую руку», но будет подходящим решением в экстренных ситуациях.

Однако, если у вас уже подключена наша защита, вы можете не беспокоиться о новых уязвимостях Microsoft Exchange. А если ещё нет, самое время попробовать.

Защита не только обезопасит вас от незаконных проникновений на серверы. Ваша инфраструктура, сайты и приложения будут надёжно защищены от ботов и DDoS-атак любой сложности на всех уровнях.

Попробуйте защиту бесплатно или начните с бесплатной консультации.