הסינים ניצלו חולשה באקסצ'יינג' ותקפו – עיכובים בצמצום הפגיעות

לפני ימים אחדים האקרים סינים השיגו גישה ראשונית ופרצו לשרתי אקסצ'יינג' של מיקרוסופט. לפי הענקית מרדמונד, על ידי ניצול החולשות החדשות, שהן מסוג יום אפס, ההאקרים תקפו לפחות 10 ארגונים ברחבי העולם. אלא שבחלוף שבוע, בו מיקרוסופט פרסמה שלושה עדכונים עבור ProxyNotShell – מומחים טוענים: "הליך גילוי הפגיעות – מבלבל, לא טיפוסי ואורך זמן רב, ומסב קשיים לאדמינים, למנהלי מערכות, העוסקים בהטלאת הטלאים, מה שמייצר, בסופו של דבר, סיכון לפגיעה מניצול הפגיעויות". כפי שהעיד אחד ממומחי האבטחה: "היה זה שבוע מבלבל עבור מנהלי מערכות, המנסים להבין את האיום".

אחד מחוקרי האבטחה חשף בסוף השבוע כי האקרים – לא ברור האם אלה ההאקרים הסינים שניצלו את החולשה בתחילה, או האקרים אחרים – כבר פיתחו מעקף לאחד הטלאים שסיפקה מיקרוסופט, ובכך למעשה, ייתרו אותו.

לשבור את שרשראות ההתקפה הנוכחיות

לדברי החוקרים, הבעיה היא בדרך שבה החתימות של מיקרוסופט מזהות את הניצול, והעובדה כי הטלאי אינו מוטמע באופן אוטומטי בגרסאות של Windows Server 2016 ואילך. הפגיעויות משפיעות על ארגונים אשר להם יש גרסאות 2013, 2016 ו-2019 של Microsoft Exchange.

עוד ציינו החוקרים כי הפגיעות, ProxyNotShell, לא הייתה טיפוסית במהותה ובשל כך, המידע אודות ההטלאות והתיקונים היה מקוטע וקשה למעקב.

לפי מיקרוסופט, "ההאקרים התקינו Chopper web shell, כדי להקל על גישה למקלדת הקורבנות, וכך הם ניצלו את החולשה על מנת לקבל גישה ל-Active Directory. או אז, הם חילצו נתונים ממחשבי הארגונים".

שתי הפגיעויות – CVE-2022-41040 ו-CVE-2022-41082 – כונו, יחדיו, ProxyNotShell, בשל הדמיון הטכנולוגי ביניהן, לרבות יכולת ההשתלטות מרחוק על מחשבי הקורבן לאחר הזרקת נוזקה מרחוק.

שתיהן קיבלו ציוני חומרה גבוהים – 8.8 במדד CVSS.

"בעוד שפגיעויות אלה דורשות אימות, הרי שבמקרה זה, האימות הדרוש לשם ניצול שלהן יכול להיות של משתמש רגיל", ציינו חוקרי מיקרוסופט. "כך, ניתן לרכוש אישורי משתמש סטנדרטיים באמצעות התקפות רבות ושונות, או רכישה בפלטפורמות מכירה של פושעי הסייבר (הכוונה היא לדארקנט – י"ה)".

הפגיעויות התגלו בראשונה על ידי חברת אבטחת הסייבר הווייטנאמית GTSC, כחלק ממאמצי התגובה שלה לאירועים עבור לקוח שלה, שזהותו לא נחשפה. לקוח זה חווה מתקפה באוגוסט האחרון.

CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, הוסיפה את שתי נקודות התורפה ל-KEV, קטלוג הפגיעויות הידועות, ודרשה מהסוכנויות הפדרליות להטליא את התיקונים עד 21 באוקטובר השנה. מיקרוסופט, מצידה, הודיעה כי היא עובדת "באופן מואץ" כדי לשחרר תיקון לחולשות. היא גם פרסמה סקריפט לטובת "שבירה של שרשראות ההתקפה הנוכחיות".

מומחים ציינו שתוכנת Microsoft Exchange מהווה יעד אטרקטיבי לניצול על ידי שחקני איום, משתי סיבות: האחת – היות המערכת מחוברת ישירות לאינטרנט, מה שיוצר משטח תקיפה הנגיש מכל מקום בעולם, ושמגביר באופן דרסטי את הסיכון שלו להיות מותקף; והשנייה – כי ארגונים לא יכולים פשוט לכבות את מערכות המייל שלהם, בלי שהדבר ישפיע לרעה על העסק.