Polskie Wojska Obrony Cyberprzestrzeni we współpracy z firmą Microsoft zidentyfikowały techniki pozwalającej na odczytywanie zawartości cudzych skrzynek pocztowych Microsoft Exchange, wykorzystywaną na dużą skalę przez rosyjskich hakerów, oraz opracowały narzędzia do weryfikacji i zabezpieczenia luki.
Microsoft Exchange. Komunikat Wojsk Obrony Cyberprzestrzeni i Microsoftu
O zagrożeniu dla skrzynek Microsoft Exchange czytamy w komunikatach opublikowanych przez Microsoft oraz polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC). Jak wskazano w obu komunikatach, chodzi o technikę umożliwiającą grupom hakerskim - poprzez zmiany w uprawnieniach dostępu do folderów w skrzynkach pocztowych - niewidoczny dostęp do korespondencji mailowej działającej w usłudze Microsoft Exchange, wykorzystywanej przez różnego rodzaju firmy i instytucje - w tym państwowe - na całym świecie.
Ataki hakerskie na mailowe skrzynki Microsoftu
W komunikacie DKWOC zaznaczono, że analizy WOC potwierdziły "szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce" z wykorzystaniem tej techniki.
„W pierwszym etapie, atakujący uzyskuje dostęp do skrzynek pocztowych poprzez ataki typu brute force (»siłowe« łamanie hasła przez sprawdzanie wszelkich możliwych kombinacji – red.) lub wykorzystanie podatności usługi Microsoft Exchange (CVE-2023-23397) polegającej na wysłaniu specjalnie spreparowanej wiadomości e-mail i wykradnięciu hasha NTLM, dzięki któremu adwersarz może bez jakiejkolwiek reakcji i wiedzy użytkownika uzyskać dostęp do jego skrzynki pocztowej” - czytamy w komunikacie DKWOC.
„Kolejny etap ataku to zmiana uprawnień dostępu do poszczególnych folderów (Skrzynka Odbiorcza, Wysłane, Kopie Robocze etc.). W większości zaobserwowanych przypadków zmiana uprawnień polegała na nadaniu uprawnień właścicielskich (Owner), pozwalających na odczytanie, pobieranie czy usuwanie wiadomości w folderze (ale bez możliwości wysłania wiadomości), grupie uwierzytelnionych użytkowników (grupa Default). W efekcie, każdy użytkownik posiadający konto w tej samej organizacji, mógł odczytać zawartość folderów użytkownika, którego uprawnienia dostępu do folderów zostały tak zmodyfikowane” - podkreślono.
Modyfikacja uprawnień do wszystkich folderów
„Cechą charakterystyczną dla działań prowadzonych przez adwersarza jest modyfikacja uprawnień do wszystkich folderów w ramach skrzynki pocztowej w relatywnie krótkim czasie (kilku sekund), co fizycznie wyklucza możliwość wprowadzenia tych zmian ręcznie przez użytkownika. W przypadkach zaobserwowanych przez DKWOC, adwersarz modyfikował w taki sposób foldery w skrzynce użytkownika, który stanowił dla niego wartościowe źródło informacji, a następnie pobierał zawartość jego skrzynki pocztowej za pośrednictwem innego konta pocztowego, w ramach tej samej organizacji” - dodano.
DKWOC podkreśla również w komunikacie, że opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W ramach Krajowego Systemu Cyberbezpieczeństwa przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.
Zagrożenie? Rosyjska grupa hakerska Forest Blizzard
Z kolei Microsoft wskazał w komunikacie, że luka w zabezpieczeniach wykorzystana została m.in. przez powiązaną z rosyjskim GRU grupą hakerską „Forest Blizzard”. Rosyjscy hakerzy wykorzystują tzw. krytyczną podatność CVE-2023-23397 w systemach Microsoftu, by uzyskać dostęp do interesujących ich skrzynek pocztowych - przede wszystkim związanymi z instytucjami rządowymi, zajmującymi się energetyką i transportem w USA, Europie oraz na Bliskim Wschodzie.
Microsoft: Dziękujemy polskiemu wojsku za partnerstwo i współpracę
Jak poinformowano na profilu Microsoftu poświęconym cyberbezpieczeństwu na portalu X (Twitterze), spółka współpracuje z polskimi Wojskami Obrony Cyberprzestrzeni w działaniach przeciwko „Forest Blizzard” w zakresie identyfikacji i przeciwdziałania zagrożeń. „Dziękujemy DKWOC za partnerstwo i współpracę w tej kwestii” - czytamy.
DKWOC oceniło, że sposób działania atakujących świadczy o ich wysokich kompetencjach technicznych oraz gruntownej wiedzy na temat systemów Microsoftu. „Identyfikacja tego typu ataku jest trudna z uwagi na brak wykorzystania jakichkolwiek narzędzi ofensywnych, które mogłyby zostać wykryte przez systemy cyberbezpieczeństwa” - czytamy.
Ta technika hakerska może być wciąż aktywnie wykorzystywana
W komunikacie dodano, że w chwili publikacji opisana technika hakerska może być wciąż aktywnie wykorzystywana. „W związku z powyższym DKWOC rekomenduje wykorzystanie opracowanych narzędzi oraz wdrożenie środków zaradczych zgodnie z załączonymi instrukcjami. Opracowane narzędzia stanowią autorskie rozwiązanie DKWOC pozwalające na weryfikację wystąpienia modyfikacji folderów pocztowych oraz przywrócenie pożądanych ustawień dostępu w środowiskach pocztowych MS Exchange o infrastrukturze: »on-prem«, hybrydowej oraz chmurowej” - wskazano.
Dokładny opis zagrożenia oraz kroki, które należy podjąć w celu zabezpieczenia zostały zamieszczone na stronach internetowych DKWOC oraz Microsoftu:
https://www.wojsko-polskie.pl/woc/articles/aktualnosci-w/wykrywanie-atakow-na-serwery-pocztowe-microsoft-exchange/ oraz https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/
KW
Źródło zdjęcia: Microsoft: Dziękujemy polskiemu wojsku za partnerstwo i współpracę. Fot. Flickr/premierrp
Czytaj dalej:
