Կասպերսկի. Չարագործներն ակտիվորեն շահագործում են խոցելիություններն աշխարհով մեկ MS Exchange-ի սերվերների վրա գրոհներում

«Կասպերսկի» ընկերության Հայաստանի ներկայացուցչություն։ Չարագործներն օգտագործում են չորս վտանգավոր խոցելիություն կազմակերպությունների՝ Microsoft Exchange-ի կառավարման ներքո գործող կորպորատիվ սերվերների վրա հարձակումներում, որոնք գտնվում են ԱՄՆ-ում, Գերմանիայում, Իրանում, Թուրքիայում և աշխարհի այլ երկրներում, հաղորդում է «Կասպերսկի» ընկերությունը։ Վկայակոչելով Microsoft-ի հետազոտողներին, ընկերության փորձագետները նշում են, որ այդ խոցելիությունների կիրառմամբ գրոհների հետևում կանգնած են Hafnium խմբավորման ցանցահենները։ Նրանց հետաքրքրությունների ոլորտ են մտնում նախևառաջ ամերիկյան արդյունաբերական ընկերությունները, վարակիչ հիվանդությունների հետազոտողները, իրավաբանական ֆիրմաները, ոչ առևտրային կազմակերպությունները և քաղաքական վերլուծաբանները: Նրանց նպատակը գաղտնի տեղեկատվության հափշտակումն է։ Զոհերի ճշգրիտ թիվը հայտնի չէ, սակայն ԱՄՆ-ում առնվազն 30 000 կազմակերպություն, ներառյալ փոքր բիզնեսը և քաղաքային վարչակազմերը, հարձակման են ենթարկվել այդ խոցելիությունների օգնությամբ:

Դրանք ցանցահեններին թույլ են տալիս իրականացնել եռաստիճան գրոհ։ Սկզբում նրանք հասանելիություն են ստանում Exchange սերվերին, ապա ստեղծում են վեբ-շելլ՝ սերվերին հեռավար հասանելիության համար, իսկ հետո այն օգտագործում են կազմակերպության ցանցից տվյալների գողության համար: CVE-2021-26855 խոցելիությունը կարող է օգտագործվել սերվերի կողմից հարցումների կեղծման համար (server-side request forgery), ինչը թույլ է տալիս շրջանցել իրավազորումը Exchange սերվերում, և, որպես հետևանք, հանգեցնում է կամայական կոդի հեռավար գործարկմանը; CVE-2021-26857-ը թույլ է տալիս չարագործներին կատարել կամայական կոդ համակարգի անունից (դրա օգտագործման համար պահանջվում են կամ ադմինիստրատորի իրավունքներ, կամ նախորդ խոցելիության շահագործում); CVE-2021-26858-ը և CVE-2021-27065-ն օգտագործվում են ֆայլը սերվերում ցանկացած ուղով գրանցելու համար։ Չարագործները կապակցված են կիրառում այս չորս խոցելիությունները։ Exchange-ի ամպային տարբերակը ենթակա չէ տվյալ խոցելիությունների ազդեցությանը, դրանք վտանգ են ներկայացնում միայն ենթակառուցվածքի ներսում տեղակայվող սերվերների համար:

Կազմակերպությունների պաշտպանության համար անհրաժեշտ է տեղադրել պատչ։ Եթե ինչ-ինչ պատճառներով հնարավոր չէ շտապ տեղադրել թարմացումը, ապա Microsoft-ն առաջարկում է մի քանի շրջանցող լուծումներ: Գրոհի սկզբնական փուլը կարելի է կանգնեցնել՝ արգելելով 443 պորտով Exchange սերվերին անվստահելի հասանելիությունը կամ ընդհանուր առմամբ սահմանափակելով կորպորատիվ ցանցին արտաքին միացումները։ Սակայն դա չի օգնի, եթե չարագործներն արդեն գտնվում են ցանցի պարագծի ներսում, կամ եթե նրանք կարողանան համոզել ադմինիստրատորի իրավունքներով օգտատիրոջը գործարկել վնասաբեր ֆայլը: Այդ դեպքում կորպորատիվ օգտատերերին կարող են օգնել ցանցում վնասակար վարքագծի հայտնաբերման գործիքները։ Բացի այդ, համացանցին միացված յուրաքանչյուր համակարգիչ կարիք ունի հուսալի լուծման, որը կարող է կանխել խոցելիությունների շահագործումը և ունի վնասակար վարքագծի պրոակտիվ հայտնաբերման համակարգ: