NSA objavila nové zraniteľnosti ovplyvňujúce servery Microsoft Exchange

Vo svojom aprílovom balíku opráv spoločnosť Microsoft zaviedla opravy pre celkovo 114 bezpečnostných chýb, vrátane aktívne využívaných chýb zero-day a štyroch chýb spustenia vzdialeného kódu na serveri Exchange.

Zo 114 nedostatkov je 19 hodnotených ako kritických, 88 je hodnotených ako dôležité a jedna je hodnotená ako stredne závažná.

Hlavným z nich je CVE-2021-28310, zraniteľnosť eskalácie privilégií vo Win32k, o ktorej sa hovorí, že je aktívne využívaná, čo umožňuje útočníkom zvýšiť privilégiá spustením škodlivého kódu na cieľovom systéme.

Firma Kaspersky zaoberajúca sa kybernetickou bezpečnosťou, ktorá vo februári objavila a nahlásila chybu Microsoftu, spojila zero-day exploit s aktérom hrozby s názvom Bitter APT, o ktorom sa zistilo, že využíva podobnú chybu (CVE-2021-1732) pri útokoch koncom minulého roka.

„Je to zneužitie eskalácie privilégií (EoP), ktoré sa pravdepodobne používa spolu s inými zneužitiami prehliadača na únik z karantény alebo na získanie systémových privilégií na ďalší prístup,“ povedal výskumník Kaspersky Boris Larin.

NSA našla nové chyby ovplyvňujúce Exchange Server

Spoločnosť Microsoft tiež opravila štyri chyby vzdialeného spustenia kódu (RCE) (CVE-2021-28480 až CVE-2021-28483) ovplyvňujúce lokálne servery Exchange 2013, 2016 a 2019, ktoré spoločnosti oznámila americká Národná bezpečnostná agentúra. (NSA). Dve z chýb vykonávania kódu sú neoverené a nevyžadujú žiadnu interakciu používateľa a nesú skóre CVSS 9.8 z maximálne 10.

Kým Windows výrobca uviedol, že nenašiel žiadne dôkazy o akýchkoľvek aktívnych exploitoch vo voľnej prírode, odporúča sa, aby si zákazníci nainštalovali tieto aktualizácie čo najskôr, aby zabezpečili prostredie, najmä vo svetle rozšírených hackingov Exchange Server minulý mesiac a nových zistení, ktoré sa útočníci pokúšajú využiť zneužitie ProxyLogon na nasadenie škodlivých kryptominov na servery Exchange, pričom užitočné zaťaženie bude hosťované na napadnutom serveri Exchange.

Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) tiež revidovala núdzovú smernicu, ktorú vydala minulý mesiac, a uviedla, že „tieto zraniteľné miesta predstavujú neprijateľné riziko pre federálny podnik a vyžadujú si okamžité a núdzové opatrenie“, pričom varuje, že základné chyby môžu byť vyzbrojený reverzným inžinierstvom záplaty na vytvorenie exploitu.

Spoločnosť Check Point, zaoberajúca sa kybernetickou bezpečnosťou, ktorá sleduje prebiehajúce kybernetické hrozby využívajúce chyby servera Exchange, uviedla, že bolo zabránených celkovo 110 407 útokom zameraným na vládu, výrobu, financie, zdravotníctvo, právny a poisťovací priemysel v USA, Spojenom kráľovstve, Nemecku, Holandsku. a Brazília.

FBI odstránila zadné vrátka z napadnutých serverov MS Exchange

A čo viac, americký Federálny úrad pre vyšetrovanie (FBI) vykonal „úspešnú akciu“ na „skopírovanie a odstránenie“ webových škrupín nasadených protivníkmi na stovkách počítačov obetí pomocou chýb pri prihlásení ProxyLogon. Hovorí sa, že FBI vymazala webové škrupiny nainštalované spoločnosťou Hafnium, ktoré mohli byť použité na udržiavanie a eskaláciu pretrvávajúceho, neoprávneného prístupu do amerických sietí.

“FBI vykonala odstránenie vydaním príkazu cez webový shell pre server, ktorý bol navrhnutý tak, aby spôsobil, že server vymaže iba webový shell (identifikovaný svojou jedinečnou cestou k súboru),” uviedlo ministerstvo spravodlivosti vo vyhlásení, ktoré podrobne uvádza súdom povolená operácia.

27 RCE chyby v Windows RPC a ďalšie opravy

Microsoft tiež uviedol, že štyri ďalšie zraniteľnosti boli v čase vydania verejne známe, ale neboli zneužité –

  • CVE-2021-28458 – Chyba zabezpečenia zvýšenia úrovne oprávnenia knižnice Azure ms-rest-nodeauth
  • CVE-2021-27091 – Zvýšenie zraniteľnosti služby mapovača koncových bodov RPC
  • CVE-2021-28437 – Windows Chyba zabezpečenia pri sprístupnení informácií inštalátora
  • CVE-2021-28312 – Windows Chyba zabezpečenia NTFS Denial of Service

Okrem toho aprílová aktualizácia Patch Tuesday tiež rieši neuveriteľných 27 nedostatkov RCE v runtime Remote Procedure Call (RPC), bezpečnostnú funkciu Hyper-V obchádzajúcu zraniteľnosť (CVE-2021-28444) a viaceré chyby eskalácie privilégií. Windows Speech Runtime, Windows Služby a aplikácia Controller, Windows Režim zabezpečeného jadra, Windows Sledovanie udalostí a Windows Inštalátor.

Opravy softvéru od iných predajcov

Okrem Microsoftu v utorok vydalo množstvo záplat aj množstvo ďalších predajcov –