Wojska Ochrony Cyberprzestrzeni pomogły wykryć lukę w systemach Microsoftu. Wykorzystywali ją rosyjscy hakerzy
Polskie Wojska Obrony Cyberprzestrzeni we współpracy z firmą Microsoft zidentyfikowały technikę pozwalającą na odczytywanie zawartości cudzych skrzynek pocztowych Microsoft Exchange, wykorzystywaną na dużą skalę przez rosyjskich hakerów, oraz opracowały narzędzia do weryfikacji i zabezpieczenia luki.
2023-12-06, 07:42
O zagrożeniu dla skrzynek Microsoft Exchange czytamy w komunikatach opublikowanych przez Microsoft oraz polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC). Jak wskazano w obu komunikatach, chodzi o technikę umożliwiającą grupom hakerskim - poprzez zmiany w uprawnieniach dostępu do folderów w skrzynkach pocztowych - niewidoczny dostęp do korespondencji mailowej działającej w usłudze Microsoft Exchange, wykorzystywanej przez różnego rodzaju firmy i instytucje - w tym państwowe - na całym świecie.
"W pierwszym etapie, atakujący uzyskuje dostęp do skrzynek pocztowych poprzez ataki typu brute force ('siłowe' łamanie hasła przez sprawdzanie wszelkich możliwych kombinacji - red.) lub wykorzystanie podatności usługi Microsoft Exchange (CVE-2023-23397) polegającej na wysłaniu specjalnie spreparowanej wiadomości e-mail i wykradnięciu hasha NTLM, dzięki któremu adwersarz może bez jakiejkolwiek reakcji i wiedzy użytkownika uzyskać dostęp do jego skrzynki pocztowej" - czytamy w komunikacie DKWOC.
Zmiany uprawnień dostępu
"Kolejny etap ataku to zmiana uprawnień dostępu do poszczególnych folderów (Skrzynka Odbiorcza, Wysłane, Kopie Robocze etc.). W większości zaobserwowanych przypadków zmiana uprawnień polegała na nadaniu uprawnień właścicielskich (Owner), pozwalających na odczytanie, pobieranie czy usuwanie wiadomości w folderze (ale bez możliwości wysłania wiadomości), grupie uwierzytelnionych użytkowników (grupa Default). W efekcie, każdy użytkownik posiadający konto w tej samej organizacji, mógł odczytać zawartość folderów użytkownika, którego uprawnienia dostępu do folderów zostały tak zmodyfikowane" - podkreślono.
REKLAMA
"Cechą charakterystyczną dla działań prowadzonych przez adwersarza jest modyfikacja uprawnień do wszystkich folderów w ramach skrzynki pocztowej w relatywnie krótkim czasie (kilku sekund), co fizycznie wyklucza możliwość wprowadzenia tych zmian ręcznie przez użytkownika. W przypadkach zaobserwowanych przez DKWOC, adwersarz modyfikował w taki sposób foldery w skrzynce użytkownika, który stanowił dla niego wartościowe źródło informacji, a następnie pobierał zawartość jego skrzynki pocztowej za pośrednictwem innego konta pocztowego, w ramach tej samej organizacji" - dodano.
Szeroka współpraca w walce z zagrożeniem
DKWOC podkreśla również w komunikacie, że opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W ramach Krajowego Systemu Cyberbezpieczeństwa przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.
Z kolei Microsoft wskazał w komunikacie, że luka w zabezpieczeniach wykorzystana została m.in. przez powiązaną z rosyjskim GRU grupą hakerską "Forest Blizzard". Rosyjscy hakerzy wykorzystują tzw. krytyczną podatność CVE-2023-23397 w systemach Microsoftu, by uzyskać dostęp do interesujących ich skrzynek pocztowych - przede wszystkim związanymi z instytucjami rządowymi, zajmującymi się energetyką i transportem w USA, Europie oraz na Bliskim Wschodzie.
Jak poinformowano na profilu Microsoftu poświęconym cyberbezpieczeństwu na portalu X (Twitterze), spółka współpracuje z polskimi Wojskami Obrony Cyberprzestrzeni w działaniach przeciwko "Forest Blizzard" w zakresie identyfikacji i przeciwdziałania zagrożeń. "Dziękujemy DKWOC za partnerstwo i współpracę w tej kwestii" - czytamy.
REKLAMA
Trudna identyfikacja ataków
DKWOC oceniło, że sposób działania atakujących świadczy o ich wysokich kompetencjach technicznych oraz gruntownej wiedzy na temat systemów Microsoftu. "Identyfikacja tego typu ataku jest trudna z uwagi na brak wykorzystania jakichkolwiek narzędzi ofensywnych, które mogłyby zostać wykryte przez systemy cyberbezpieczeństwa" - czytamy.
W komunikacie dodano, że w chwili publikacji opisana technika hakerska może być wciąż aktywnie wykorzystywana. "W związku z powyższym DKWOC rekomenduje wykorzystanie opracowanych narzędzi oraz wdrożenie środków zaradczych zgodnie z załączonymi instrukcjami. Opracowane narzędzia stanowią autorskie rozwiązanie DKWOC pozwalające na weryfikację wystąpienia modyfikacji folderów pocztowych oraz przywrócenie pożądanych ustawień dostępu w środowiskach pocztowych MS Exchange o infrastrukturze: 'on-prem', hybrydowej oraz chmurowej" - wskazano.
Dokładny opis zagrożenia oraz kroki, które należy podjąć w celu zabezpieczenia zostały zamieszczone na stronach internetowych DKWOC oraz Microsoftu.
- Rośnie liczba ataków hakerskich. Wiceminister Małecki: rodzime rozwiązania cyfrowe są dla nas szczególnie ważne
- "Stracisz dane, stracisz pieniądze!". Startuje kampania na temat wyłudzania danych i kradzieży pieniędzy
pg,pap
REKLAMA
REKLAMA