Aktívan kihasználják az Exchange sérülékenységet

Az elemzőket és a szakértőket is meglepte, milyen mértékű lehet a március elején bejelentett Microsoft Exchange szervereket érintő sérülékenység kihasználása. Az első hírek szerint tömeges kihasználási kísérletek lepték el a világhálót, és az elemzők szerint egy szerver sincs biztonságban.

Bár a Microsoft ezúttal gyorsan reagált, és kiadott egy vészhelyzeti javítást valamint egy blogposztban is igyekezett felhívni a rendszergadák figyelmét a veszélyre, úgy látszik ez nem volt elégséges.

A kutatók és biztonsági szakemberek egyre inkább meg vannak arról győződve, hogy a javítás telepítése nem elégséges, mert a feltételezések szerint a sérülékenységet már korábban kihasználták, és több száz szerverre már telepítésre került a második lépcsős webshell, ami már biztosítja a hackerek számára a hátsó ajtót.

A kutatók javaslata szerint minden Exchange üzemeltető keressen a hálózatában a 157.230.221[.]198 és 165.232.154[.]116 IP címek irányába tartó, vagy onnan érkező forgalmat, illetve kutassa fel, hogy a webshell települt-e az eszközeikre.

Lelkes programozók már közzétettek egy toolt, amivel könnyebben azonosítani lehet, hogy fertőzött-e az adott eszköz.

Európai idő szerint este hét órakor a HuntressLabs videokonferenciát is tart a témában az érdeklődük számára.

Frissítés Március 05:

A fenti előadás anyaga:

A CERT-LV is kiadott egy PS scriptet, melynek segítségével szinte 100%-os pontossággal lehet felmérni, hogy megfertőződött-e az adott szerver. A Lett kollégák 0 false pozitív eredményt garantálnak.

A CISA témával kapcsolatos riasztásai pedig itt találhatóak:

https://us-cert.cisa.gov/ncas/alerts/aa21-062a

CISA Emergency Directive 21-02

A témával kapcsolatban máris számos háttéranyag keletkezett, többek közt:

HuntressLabs

Rapid7

Volexity

Kevin Beaumont

CERT-ek figyelmeztetései:

NCSC-NL

TRAFICOM

CERT-EU

NKI