Penyerang Zero-Day Microsoft Exchange Memata-matai Target AS

Penyerang Zero-Day Microsoft Exchange Memata-matai Target AS

Penyerang Zero-Day Microsoft Exchange Memata-matai Target AS.


Microsoft telah menemukan beberapa eksploitasi zero-day di alam liar yang digunakan untuk menyerang versi lokal Microsoft Exchange Server.
Musuh telah dapat mengakses akun email, mencuri sejumlah besar data dan menjatuhkan malware pada mesin target untuk akses jarak jauh jangka panjang, menurut raksasa komputasi itu.

Serangan tersebut "terbatas dan ditargetkan," menurut Microsoft, memacu untuk merilis patch out-of-band minggu ini. 
Bug yang dieksploitasi dilacak sebagai CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 dan CVE-2021-27065.

Namun, peneliti lain telah melaporkan melihat aktivitas yang membahayakan organisasi korban secara massal.

Tim melihat organisasi dari segala bentuk dan ukuran terpengaruh, termasuk perusahaan listrik, pemerintah daerah / kabupaten, penyedia layanan kesehatan dan bank / lembaga keuangan, serta hotel kecil, komunitas warga senior dan bisnis pasar menengah lainnya,” juru bicara di Huntress.

Pelakunya diyakini sebagai kelompok ancaman persisten lanjutan (APT) yang dikenal sebagai Hafnium (juga nama unsur kimia), yang memiliki sejarah menargetkan aset di Amerika Serikat dengan kampanye spionase dunia maya. 
Sasaran di masa lalu mencakup kontraktor pertahanan, peneliti penyakit menular, firma hukum, lembaga swadaya masyarakat (LSM), lembaga pemikir kebijakan, dan universitas.

"Microsoft Threat Intelligence Center (MSTIC) mengaitkan kampanye ini dengan keyakinan tinggi kepada Hafnium, sebuah grup yang dinilai disponsori negara dan beroperasi di luar China, berdasarkan pada viktimologi, taktik, dan prosedur yang diamati," menurut pengumuman minggu ini dari Microsoft di serangan.

Bug Keamanan Zero-Day di Exchange Server

“Fakta bahwa Microsoft memilih untuk menambal kelemahan ini di luar jalur daripada memasukkannya sebagai bagian dari rilis Patch Selasa minggu depan membuat kami percaya bahwa kekurangannya cukup parah bahkan jika kami tidak mengetahui cakupan penuh dari serangan tersebut, Satnam Narang, staf insinyur penelitian di Tenable, mengatakan melalui email.

Microsoft memperbaiki bug berikut minggu ini, dan admin harus memperbarui yang sesuai:


  • CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) yang memungkinkan bypass otentikasi: Penyerang jarak jauh dapat dengan mudah mengirim permintaan HTTP sewenang-wenang ke server Exchange dan dapat mengautentikasi ke sana. Dari sana, penyerang dapat mencuri konten lengkap dari beberapa kotak surat pengguna.
  • CVE-2021-26857 adalah kerentanan deserialisasi yang tidak aman di layanan Unified Messaging, di mana data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Eksploitasi memungkinkan penyerang jarak jauh dengan izin administrator untuk menjalankan kode sebagai SISTEM di server Exchange.
  • CVE-2021-26858 dan CVE-2021-27065 keduanya merupakan kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Setelah diautentikasi dengan server Exchange (menggunakan CVE-2021-26855 atau dengan kredensial admin yang disusupi), penyerang dapat menulis file ke jalur mana pun di server - sehingga mencapai eksekusi kode jarak jauh (RCE).

  • Peneliti di Volexity awalnya menemukan bug SSRF sebagai bagian dari respons insiden dan mencatat, “Kerentanan ini dapat dieksploitasi dari jarak jauh dan tidak memerlukan otentikasi dalam bentuk apa pun, juga tidak memerlukan pengetahuan khusus atau akses ke lingkungan target. Penyerang hanya perlu mengetahui server yang menjalankan Exchange dan akun tempat mereka ingin mengekstrak email.

    Mereka juga mengamati bug SSRF yang dirantai dengan CVE-2021-27065 untuk mencapai RCE dalam beberapa serangan.

    Selain Volexity, Microsoft memuji peneliti keamanan di Dubex dengan mengungkap aktivitas baru-baru ini, yang pertama kali diamati pada Januari.

    Berdasarkan apa yang kami ketahui sejauh ini, eksploitasi salah satu dari empat kerentanan tidak memerlukan otentikasi apa pun dan dapat digunakan untuk mengunduh pesan dari kotak surat pengguna yang ditargetkan,” kata Narang dari Tenable. “Kerentanan lainnya dapat dirangkai bersama oleh aktor ancaman yang ditentukan untuk memfasilitasi kompromi lebih lanjut dari jaringan organisasi yang ditargetkan.”

    Apa yang Terjadi dalam Serangan Hafnium?

    Dalam kampanye yang diamati, empat bug zero-day digunakan untuk mendapatkan akses awal ke server Exchange yang ditargetkan dan mencapai RCE. Operator Hafnium kemudian menyebarkan cangkang web di server yang disusupi, yang digunakan untuk mencuri data dan memperluas serangan, menurut para peneliti.

    Dalam semua kasus RCE, Volexity telah mengamati penyerang yang menulis webshell (file ASPX) ke disk dan melakukan operasi lebih lanjut untuk membuang kredensial, menambahkan akun pengguna, mencuri salinan database Active Directory (NTDS.DIT) dan berpindah secara lateral ke sistem lain dan lingkungan, ”menurut artikel Volexity .

    Setelah penyebaran shell web, Microsoft menemukan bahwa operator Hafnium melakukan berbagai aktivitas pasca-eksploitasi:


  • Menggunakan Procdump untuk membuang memori proses LSASS;
  • Menggunakan 7-Zip untuk mengompres data yang dicuri menjadi file ZIP untuk dieksfiltrasi;
  • Menambahkan dan menggunakan snap-in Exchange PowerShell untuk mengekspor data kotak surat;
  • Menggunakan reverse shell Nishang Invoke-PowerShellTcpOneLine;
  • Dan mengunduh PowerCat dari GitHub, lalu menggunakannya untuk membuka koneksi ke server jarak jauh.

  • Para penyerang juga dapat mengunduh buku alamat Exchange offline dari sistem yang disusupi, yang berisi informasi tentang organisasi dan penggunanya, menurut analisis.

    "Kabar baik bagi para pembela HAM adalah bahwa aktivitas pasca-eksploitasi sangat dapat dideteksi," kata Katie Nickels, direktur intelijen di Red Canary, melalui email, menambahkan perusahaannya telah mendeteksi banyak serangan juga. "Beberapa aktivitas yang kami amati menggunakan shell web China Chopper , yang telah ada selama lebih dari delapan tahun, memberikan cukup waktu bagi pembela untuk mengembangkan logika pendeteksian untuknya."



    Pos ancaman
    Artikel sebelumnya
    Artikel selanjutnya
    Penyerang Zero-Day Microsoft Exchange Memata-matai Target AS
    microsoft zero day

    Penulis:
    Anjing Laut Tara
    3 Maret 2021 10:30
    Bagikan artikel ini:

    Sampah penuh kotak email, gerakan lateral, dan pintu belakang menjadi ciri serangan canggih oleh APT China - sementara lebih banyak insiden menyebar seperti api.

    Microsoft telah menemukan beberapa eksploitasi zero-day di alam liar yang digunakan untuk menyerang versi lokal Microsoft Exchange Server. Musuh telah dapat mengakses akun email, mencuri sejumlah besar data dan menjatuhkan malware pada mesin target untuk akses jarak jauh jangka panjang, menurut raksasa komputasi itu.

    Serangan tersebut "terbatas dan ditargetkan," menurut Microsoft, memacu untuk merilis patch out-of-band minggu ini. Bug yang dieksploitasi dilacak sebagai CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 dan CVE-2021-27065.

    Namun, peneliti lain telah melaporkan melihat aktivitas yang membahayakan organisasi korban secara massal.

    “Tim melihat organisasi dari segala bentuk dan ukuran terpengaruh, termasuk perusahaan listrik, pemerintah daerah / kabupaten, penyedia layanan kesehatan dan bank / lembaga keuangan, serta hotel kecil, komunitas warga senior dan bisnis pasar menengah lainnya,” juru bicara di Huntress memberi tahu Threatpost.



    Pelakunya diyakini sebagai kelompok ancaman persisten lanjutan (APT) yang dikenal sebagai Hafnium (juga nama unsur kimia), yang memiliki sejarah menargetkan aset di Amerika Serikat dengan kampanye spionase dunia maya. Sasaran di masa lalu mencakup kontraktor pertahanan, peneliti penyakit menular, firma hukum, lembaga swadaya masyarakat (LSM), lembaga pemikir kebijakan, dan universitas.

    "Microsoft Threat Intelligence Center (MSTIC) mengaitkan kampanye ini dengan keyakinan tinggi kepada Hafnium, sebuah grup yang dinilai disponsori negara dan beroperasi di luar China, berdasarkan pada viktimologi, taktik, dan prosedur yang diamati," menurut pengumuman minggu ini dari Microsoft di serangan.

    Bug Keamanan Zero-Day di Exchange Server
    “Fakta bahwa Microsoft memilih untuk menambal kelemahan ini di luar jalur daripada memasukkannya sebagai bagian dari rilis Patch Tuesday minggu depan membuat kami percaya bahwa kekurangannya cukup parah bahkan jika kami tidak mengetahui cakupan penuh dari serangan tersebut, Satnam Narang, staf insinyur penelitian di Tenable, mengatakan melalui email.

    Microsoft memperbaiki bug berikut minggu ini, dan admin harus memperbarui yang sesuai:

    CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) yang memungkinkan bypass otentikasi: Penyerang jarak jauh dapat dengan mudah mengirim permintaan HTTP sewenang-wenang ke server Exchange dan dapat mengautentikasi ke sana. Dari sana, penyerang dapat mencuri konten lengkap dari beberapa kotak surat pengguna.
    CVE-2021-26857 adalah kerentanan deserialisasi yang tidak aman di layanan Unified Messaging, di mana data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Eksploitasi memungkinkan penyerang jarak jauh dengan izin administrator untuk menjalankan kode sebagai SISTEM di server Exchange.
    CVE-2021-26858 dan CVE-2021-27065 keduanya merupakan kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Setelah diautentikasi dengan server Exchange (menggunakan CVE-2021-26855 atau dengan kredensial admin yang disusupi), penyerang dapat menulis file ke jalur mana pun di server - sehingga mencapai eksekusi kode jarak jauh (RCE).
    Peneliti di Volexity awalnya menemukan bug SSRF sebagai bagian dari respons insiden dan mencatat, “Kerentanan ini dapat dieksploitasi dari jarak jauh dan tidak memerlukan otentikasi dalam bentuk apa pun, juga tidak memerlukan pengetahuan khusus atau akses ke lingkungan target. Penyerang hanya perlu mengetahui server yang menjalankan Exchange dan akun tempat mereka ingin mengekstrak email. ”

    Mereka juga mengamati bug SSRF yang dirantai dengan CVE-2021-27065 untuk mencapai RCE dalam beberapa serangan.

    Selain Volexity, Microsoft memuji peneliti keamanan di Dubex dengan mengungkap aktivitas baru-baru ini, yang pertama kali diamati pada Januari.

    “Berdasarkan apa yang kami ketahui sejauh ini, eksploitasi salah satu dari empat kerentanan tidak memerlukan otentikasi apa pun dan dapat digunakan untuk mengunduh pesan dari kotak surat pengguna yang ditargetkan,” kata Narang dari Tenable. “Kerentanan lainnya dapat dirangkai bersama oleh aktor ancaman yang ditentukan untuk memfasilitasi kompromi lebih lanjut dari jaringan organisasi yang ditargetkan.”

    Apa yang Terjadi dalam Serangan Hafnium?
    Dalam kampanye yang diamati, empat bug zero-day digunakan untuk mendapatkan akses awal ke server Exchange yang ditargetkan dan mencapai RCE. Operator Hafnium kemudian menyebarkan cangkang web di server yang disusupi, yang digunakan untuk mencuri data dan memperluas serangan, menurut para peneliti.

    “Dalam semua kasus RCE, Volexity telah mengamati penyerang yang menulis webshell (file ASPX) ke disk dan melakukan operasi lebih lanjut untuk membuang kredensial, menambahkan akun pengguna, mencuri salinan database Active Directory (NTDS.DIT) dan berpindah secara lateral ke sistem lain dan lingkungan, ”menurut artikel Volexity .

    Setelah penyebaran shell web, Microsoft menemukan bahwa operator Hafnium melakukan berbagai aktivitas pasca-eksploitasi:

    Menggunakan Procdump untuk membuang memori proses LSASS;
    Menggunakan 7-Zip untuk mengompres data yang dicuri menjadi file ZIP untuk dieksfiltrasi;
    Menambahkan dan menggunakan snap-in Exchange PowerShell untuk mengekspor data kotak surat;
    Menggunakan reverse shell Nishang Invoke-PowerShellTcpOneLine;
    Dan mengunduh PowerCat dari GitHub, lalu menggunakannya untuk membuka koneksi ke server jarak jauh.
    Para penyerang juga dapat mengunduh buku alamat Exchange offline dari sistem yang disusupi, yang berisi informasi tentang organisasi dan penggunanya, menurut analisis.

    "Kabar baik bagi para pembela HAM adalah bahwa aktivitas pasca-eksploitasi sangat dapat dideteksi," kata Katie Nickels, direktur intelijen di Red Canary, melalui email, menambahkan perusahaannya telah mendeteksi banyak serangan juga. "Beberapa aktivitas yang kami amati menggunakan cangkang web China Chopper , yang telah ada selama lebih dari delapan tahun, memberikan cukup waktu bagi pembela untuk mengembangkan logika pendeteksian untuknya."

    Siapakah Hafnium APT?

    Hafnium telah dilacak oleh Microsoft sebelumnya, tetapi perusahaan baru saja merilis beberapa detail tentang APT.

    Dalam hal taktiknya, "Hafnium sebelumnya telah membahayakan korban dengan mengeksploitasi kerentanan di server yang terhubung ke internet, dan telah menggunakan kerangka kerja sumber terbuka yang sah, seperti Kovenan, untuk perintah dan kontrol," menurut Microsoft. “Setelah mereka mendapatkan akses ke jaringan korban, HAFNIUM biasanya mengeksfiltrasi data ke situs berbagi file seperti MEGA.”

    Hafnium beroperasi terutama dari server pribadi virtual yang disewa di Amerika Serikat, dan terutama mengejar target AS, tetapi terkait dengan pemerintah China, menurut Microsoft. Ini mencirikan APT sebagai "aktor yang sangat terampil dan canggih."

    Time to Patch: Harapkan Lebih Banyak Serangan

    Perlu dicatat bahwa peneliti lain mengatakan mereka telah melihat kerentanan ini dieksploitasi oleh pelaku ancaman berbeda yang menargetkan wilayah lain, menurut Narang.

    Kami mengharapkan pelaku ancaman lain untuk mulai memanfaatkan kerentanan ini dalam beberapa hari dan minggu mendatang, itulah mengapa sangat penting bagi organisasi yang menggunakan Exchange Server untuk segera menerapkan patch ini,” tambahnya.

    Dan memang, para peneliti di Huntress mengatakan mereka telah menemukan lebih dari 100 web shell yang ditempatkan di sekitar 1.500 server yang rentan (dengan antivirus dan deteksi / pemulihan titik akhir terpasang) dan memperkirakan jumlah ini akan terus meningkat.

    Mereka tidak sendiri.

    FireEye telah mengamati kerentanan ini dieksploitasi di alam liar dan kami secara aktif bekerja dengan beberapa organisasi yang terkena dampak,” kata Charles Carmakal, wakil presiden senior dan CTO di FireEye Mandiant, melalui email. “Selain penambalan sesegera mungkin, kami menyarankan organisasi juga meninjau sistem mereka untuk bukti eksploitasi yang mungkin terjadi sebelum penerapan tambalan.

    Previous Post
    Next Post

    post written by:

    0 Comments: