Upozorňujeme na sadu závažných zranitelností postihující Microsoft Exchange Server, které umožňují bez autentizace a uživatelské interakce přístup k emailovým schránkám na serveru a následné vzdálené spuštění kódu. Dle informací Microsoftu jsou zranitelnosti s označením CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 a CVE-2021-26858 aktuálně aktivně zneužívány.

Zranitelnosti se týkají Exchange Server 2010, 2013, 2016 a 2019, služba Exchange Online zranitelná není.

Zranitelnosti opravují aktualizace vydané Microsoftem 2. března pro jednotlivé verze:

- Server 2010 Service Pack 3 (Defense in Depth update)
- Server 2013 Cumulative Update 23
- Server 2016 Cumulative Update 18
- Server 2019 Cumulative Update 7

Jelikož se zranitelnosti dostaly do širšího povědomí a byla již publikována řada veřejně dostupných nástrojů na jejich nalezení i zneužití, lze očekávat nárůst pokusů o útok. Těm, kdo provozují Exchange Server a dosud aktualizaci a kontrolu neprovedli, tak doporučujeme učinit s nejvyšší prioritou, a považovat server za kompromitovaný, dokud se neprokáže opak.

Zneužití zvenčí lze zabránit omezením přístupu pouze pro důvěryhodné adresy, nebo skrytím za VPN, aktualizaci nicméně důrazně doporučujeme i v tomto případě pro zamezení zneužití z vnitřní sítě. 

Aktualizace k 8.3.2021:

Níže naleznete seznam indikátorů kompromitace a postupů k prověření. Dle informací NÚKIB mohly být zranitelnosti zneužívány již od ledna 2021, kontrolu tedy doporučujeme provést zpětně nejméně od 1.1.2021. Upozorňujeme také, že nainstalování aktualizace nevyřeší situaci, kdy už je server kompromitován.

IP adresy k prověření:
- 103.77.192[.]219
- 104.140.114[.]110
- 104.250.191[.]110
- 108.61.246[.]56
- 149.28.14[.]163
- 157.230.221[.]198
- 167.99.168[.]251
- 185.250.151[.]72
- 192.81.208[.]169
- 203.160.69[.]66
- 211.56.98[.]146
- 5.254.43[.]18
- 5.2.69[.]14
- 80.92.205[.]81
- 91.192.103[.]43
- 165.232.154[.]116
- 45.77.252[.]175
- 51.175.217[.]162
- 46.127.83[.]153

K detekci zneužití zranitelností lze využít sadu nástrojů od Microsoft, které vyhledají záznamy nežádoucích aktivity v lozích na Exchange Serveru:

https://github.com/microsoft/CSS-Exchange/tree/main/Security 

Dále je také možné využít skript publikovaný CERT.LV k detekci přítomnosti škodlivých webshell souborů:

- https://github.com/cert-lv/exchange_webshell_detection

V případě nálezu některých z uvedených indikátorů doporučujeme v prvé řadě bezodkladně izolovat server od sítě a prověřit přítomnost podezřelých aktivit ve vašich systémech, zejména:
- přítomnost nelegitimní účtů, nebo podezřelý přístup ke stávajícím (např. přihlašování v nestandardní dobu, přístupy k neobvyklým službám/adresářům)
- nelegitimní komunikace kompromitovaného serveru v rámci vnitřní sítě
- známky neautorizovaného přístupu nebo pokusy o něj.

V případě potřeby další analýzy doporučujeme nejlépe zajistit obraz disku a paměti serveru a logy síťového provozu z externího firewallu či proxy za období nejméně od začátku letošního roku. Není-li možné zajistit celý disk, doporučujeme zajistit alespoň následující data:
- HTTP logy z inetpub\Logs\LogFiles
- ECP logy z Program Files\Microsoft\Exchange Server\v15\Logging\ECP\Server
- soubory Exchange Web Server ze složky inetpub
- Windows event logy


Pro obnovu doporučujeme provést čistou instalaci Exchange Serveru, nebo nasadit zálohu z období před začátkem roku 2021. Po nasazení zálohy či nové verze Exchange doporučujeme ihned nainstalovat všechny bezpečnostní aktualizace a server podrobně monitorovat. Pokud je to možné, doporučujeme skrýt rozhraní Exchange serveru za VPN.

Další indikátory kompromitace:

Hashe webshell skriptů:

b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Techniky používané útočníky:

Exploit Public-Facing Application [T1190]
Web Shell [T1505.003]
Web Protocols [T1071.001]
Ingress Tool Transfer [T1105]
Exfiltration Over C2 Channel [T1041]
Domain Account [T1136.002]
Windows Command Shell [T1059.003]
LSASS Memory [T1003.001]
Archive via Utility [T1560.001]
Web Protocols [T1070.001]
Exploit Public-Facing Application [T1190]
Remote System Discovery [T1018]
System Information Discovery[T1082]
System Network Configuration Discovery [T1016]
System Service Discovery [T1007]
Permission Groups Discovery [T1069]

Metodiku k prověřování indikátorů naleznete na: https://nukib.cz/download/publikace/navody/navod_proverovani_IoC_v1.pdf.

Upozorňujeme, že seznam indikátorů není konečný ani určující, jedná se o informace dostupné k 8.3.2021. V případě potvrzené kompromitace kontaktujte GovCERT.CZ nebo CSIRT.CZ.

Zdroje:

https://unit42.paloaltonetworks.com/microsoft-exchange-server-vulnerabilities/ 
https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/ 
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ 
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ 
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers 
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 
Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities | FireEye Inc