Уязвимости в Microsoft Exchange используют для атак на правительства по всему миру
Неизвестные злоумышленники активизировали атаки на Microsoft Exchange Server, используя старые уязвимости ProxyShell для распространения кейлоггеров: на сегодняшний день жертвами атаки стали не менее 30 организаций в 10 странах, включая Россию. Атаки затронули правительственные организации, банки, IT-компании и образовательные учреждения в ОАЭ, Кувейте, Омане, Нигере, Нигерии, Эфиопии, Мавритании, Иордании, Ливане и России. Первые случаи компрометации были зафиксированы еще в 2021 году.
Злоумышленники используют комбинацию уязвимостей, известных как ProxyShell: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207 — эти уязвимости позволяют обходить защиту ACL, повышать привилегии и запускать произвольный код удаленно без авторизации на сервере.
Microsoft выпустила патчи для устранения этих уязвимостей в апреле-мае 2021 года. Однако многие установки MS Exchange Server до сих пор не обновлены, что и стало причиной нынешней волны атак.
Основная цель злоумышленников — внедрение кейлоггеров на главную страницу сервера logon.aspx. Вредоносный код перехватывает введенные данные и сохраняет их в отдельном файле на сервере, доступном извне. «Таким образом, речь идет о серии атак на уязвимость, которой уже три года», — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.
Positive Technologies пока не может определить, кто стоит за этими атаками. Владельцам уязвимых серверов настоятельно рекомендуется установить обновления и проверить свои системы на наличие компрометации, в частности, поискать код кейлоггера в функции clkLgn().
Если ваш сервер скомпрометирован, необходимо определить, какие данные аккаунта были украдены, и удалить файл, где хакеры хранят эти данные. Путь к этому файлу прописывается в logon.aspx.
Кто такие хакеры: