Vybrané aktuality, hrozby a doporučení

Vyjádření k aktuální situaci

Jak jsme v minulých dnech informovali, byly odhaleny závažné zranitelnosti postihující Microsoft Exchange Server. Tyto zranitelnosti umožňují přístup k emailovým schránkám na serveru a následné vzdálené spuštění kódu. Zároveň Microsoft upozorňuje, že tyto zranitelnosti jsou aktuálně aktivně zneužívány.

NÚKIB spolu s dalšími partnery, včetně Národní centrály proti organizovanému zločinu, v tuto chvíli pomáhá zasaženým organizacím tuto situaci řešit a minimalizovat rozsah škod. Bližší informace o rozsahu incidentu či postižených subjektech však nebudeme poskytovat.

Kurz Bezpečně v kyber! se otevírá veřejnosti

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) otevírá pro veřejnost svůj on-line kurz Bezpečně v kyber! Kurz, který se zaměřuje na kybernetickou bezpečnost a rizikové jevy v kyberprostoru, jako jsou kyberšikana, kyberstalking nebo hatespeech, je primárně určen pro pracovníky vzdělávání a prevence, pedagogy i ředitele škol, ale nyní si jej může projít kdokoli, kdo má o problematiku zájem.

První verzí kurzu, která byla spuštěna loni na jaře, prošlo 1804 účastníků z řad pracovníků prevence, pedagogů a dalších skupin, pro které je obsah kurzu důležitý z hlediska jejich povolání. Jelikož ale věříme, že jeho obsah bude užitečný i pro studenty pedagogických fakult, policisty a kohokoliv dalšího, kdo se s touto problematikou setkává nebo se o ni zajímá, otevíráme kurz pro veřejnost

Kurz je rozdělen na základní a rozšířenou verzi. Kratší verze obsahuje základní lekce, jakými jsou například sexting, netolismus nebo kybergrooming.  Časová dotace kurzu je přibližně 3 hodiny a po složení testu na konci kurzu mohou zaregistrovaní uživatelé získat certifikát. Celkem v základní verzi čeká uživatele 9 kapitol. V rozšířené verzi jsou kromě témat ze základní verze i témata jako poruchy příjmu potravy a internet, rizika počítačových her nebo hatespeech. Rozšířená verze obsahuje i kapitoly k mediální gramotnosti (Hoax, Hatespeech apod.), které pro kurz připravilo Ministerstvo školství, mládeže a tělovýchovy (MŠMT) ve spolupráci se Zvolsi.Info. Celkově rozšířená verze uživateli zabere více než 6 hodin času a na jejím konci získá příslušný certifikát.

Obě verze kurzu jsou přístupné veřejnosti na webu zde. Pro získání certifikátu je ovšem třeba se zaregistrovat.

Odborným garantem kurzu je Mgr. Tomáš Hamberger - poradce předsedy vlády pro oblast školství. Odborným garantem obsahu kurzu v oblasti vzdělávání a prevence v KB je NÚKIB. Odborným konzultantem kurzu je doc. Kamilem Kopeckým PhD. z Univerzity Palackého v Olomouci. 

Online kurz Bezpečně v kyber! navazuje také svým obsahem i na „Den bezpečnějšího internetu.“ Ke dni bezpečnějšího internetu byly pořádány také navazující vzdělávací i preventivní aktivity po celý měsíc únor.

Upozornění na zranitelnosti Exchange Server

Upozorňujeme na sadu závažných zranitelností postihující Microsoft Exchange Server, které umožňují bez autentizace a uživatelské interakce přístup k emailovým schránkám na serveru a následné vzdálené spuštění kódu. Dle informací Microsoftu jsou zranitelnosti s označením CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 a CVE-2021-26858 aktuálně aktivně zneužívány.

Zranitelnosti se týkají Exchange Server 2010, 2013, 2016 a 2019, služba Exchange Online zranitelná není.

Zranitelnosti opravují aktualizace vydané Microsoftem 2. března pro jednotlivé verze:

- Server 2010 Service Pack 3 (Defense in Depth update)- Server 2013 Cumulative Update 23- Server 2016 Cumulative Update 18- Server 2019 Cumulative Update 7

Všem, kdo provozují Exchange server v uvedených verzích, doporučujeme bezodkladnou aktualizaci, zejména pokud je server přístupný z internetu.

Zneužití zvenčí lze zabránit omezením přístupu pouze pro důvěryhodné adresy, nebo skrytím za VPN, aktualizaci nicméně důrazně doporučujeme i v tomto případě pro zamezení zneužití z vnitřní sítě. 

Zdroje:

https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servershttps://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

Aktualizace k 4.3.2021:

Níže naleznete seznam indikátorů kompromitace a postupů k prověření. Dle informací NÚKIB mohly být zranitelnosti zneužívány již od ledna 2021, kontrolu tedy doporučujeme provést zpětně nejméně od 1.1.2021. Upozorňujeme také, že nainstalování aktualizace nevyřeší situaci, kdy už je server kompromitován.

S odkazem na varování CISA a analýzu společnosti Volexity a Microsoft doporučujeme:

1) Prověřit komunikaci s adresami uvedenými níže v rámci vašich systémů.

2) Prověřit výskyt podezřelých HTTP POST dotazů na:

/owa/auth/Current/themes/resources/logon.css/owa/auth/Current/themes/resources/owafont_ja.css/owa/auth/Current/themes/resources/lgnbotl.gif/owa/auth/Current/themes/resources/owafont_ko.css/owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot/owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf/owa/auth/Current/themes/resources/lgnbotl.gif

3) Prověřit výskyt řetězce "S:CMD=Set-OabVirtualDirectory.ExternalUrl='" v ECP logu:

Umístění logu: <exchange install path>\Logging\ECP\Server\.

4) Prověřit přítomnost webshell .aspx souborů v následujících adresářích (hashe souborů uvedeny níže):

\inetpub\wwwroot\aspnet_client\ - jakýkoliv .aspx soubor ve složce a všech podsložkách\<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ jakýkoliv soubor kromě TimeoutLogoff.aspx\<exchange install path>\FrontEnd\HttpProxy\owa\auth\ - jakýkoliv soubor, který není součástí běžné instalace\<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ - jakýkoliv .aspx soubor ve složce a všech podsložkách\<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ - jakýkoliv .aspx soubor ve složce a všech podsložkách

5) Prověřit výskyt nelegitimních .dll nebo .aspx souborů potenciálně vytvořených v návaznosti na POST dotazy v adresářích:

 C:\Windows\Microsoft.NET\Framework64\<version>\Temporary ASP.NET Files\root\ C:\Windows\Microsoft.NET\Framework64\<version>\Temporary ASP.NET Files\owa\

6) Prověřit přístupy nestandardních User-agents, zejména:

DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htmMMozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.htmMozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36

Síťové indikátory kompromitace:

- 103.77.192[.]219- 104.140.114[.]110- 104.250.191[.]110- 108.61.246[.]56- 149.28.14[.]163- 157.230.221[.]198- 167.99.168[.]251- 185.250.151[.]72- 192.81.208[.]169- 203.160.69[.]66- 211.56.98[.]146- 5.254.43[.]18- 5.2.69[.]14- 80.92.205[.]81- 91.192.103[.]43- 165.232.154[.]116- 45.77.252[.]175

Hashe webshell skriptů:

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

Techniky používané útočníky:

Exploit Public-Facing Application [T1190]Web Shell [T1505.003]Web Protocols [T1071.001]Ingress Tool Transfer [T1105]Exfiltration Over C2 Channel [T1041]Domain Account [T1136.002]Windows Command Shell [T1059.003]LSASS Memory [T1003.001]Archive via Utility [T1560.001]Web Protocols [T1070.001]Exploit Public-Facing Application [T1190]Remote System Discovery [T1018]System Information Discovery[T1082]System Network Configuration Discovery [T1016]System Service Discovery [T1007]Permission Groups Discovery [T1069]

Metodiku k prověřování indikátorů naleznete na: https://nukib.cz/download/publikace/navody/navod_proverovani_IoC_v1.pdf.

Upozorňujeme, že seznam indikátorů není konečný ani určující, jedná se o informace dostupné k 4.3.2021. V případě potvrzené kompromitace kontaktujte GovCERT.CZ nebo CSIRT.CZ.

Zdroje:

https://unit42.paloaltonetworks.com/microsoft-exchange-server-vulnerabilities/ https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/ https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ https://us-cert.cisa.gov/ncas/alerts/aa21-062a 

Upozornění na kritickou zranitelnost produktu VMWare vCenter Server

Upozorňujeme na kritickou zranitelnost CVE-2021-21972 umožňující vzdálené spuštění kódu (RCE - remote code execution) ve vSphere Client (HTML5). Vzdálený útočník s přístupem k portu 443 může s pomocí této zranitelnosti spouštět příkazy na hostovském operačním systému. Ke zranitelnosti je již dostupný Proof of Concept  (PoC) i workaround, viz odkazy níže.

Doporučujeme aplikovat workaround výrobce a omezit přístup k vSphere jak z internetu (např. pomocí VPN), tak z vnitřní sítě.

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://swarm.ptsecurity.com/unauth-rce-vmware/

https://github.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC