Bezpieczeństwo w sieci

Wojsko ostrzega pracowników korporacji. Służbowa skrzynka może być niebezpieczna!

Piotr Kurek
Wojsko ostrzega pracowników korporacji. Służbowa skrzynka może być niebezpieczna!
Reklama

Wojsko Polskie wykryło ataki na serwery Microsoft Exchange, wykorzystujące modyfikacje uprawnień do skrzynek pocztowych. Jak się przed nimi chronić?

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni zauważyło wykorzystanie techniki w cyberprzestrzeni, polegającej na zmianie uprawnień do folderów skrzynek pocztowych w serwerach Microsoft Exchange. Ta technika umożliwia atakującemu uzyskanie nieautoryzowanego dostępu do korespondencji pocztowej. Ataki były realizowane po zdobyciu dostępu do kont pocztowych za pomocą CVE-2023-23397 lub password-spraying. CERT-UA wykrył pierwsze działania z użyciem CVE-2023-23397 w Microsoft Outlook, a Microsoft potwierdził te działania publicznie. CSIRT NASK informował o atakach w Polsce. Analizy DKWOC potwierdziły szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce.

Reklama

DKWOC stworzyło narzędzia do identyfikacji i łagodzenia tego zagrożenia w środowisku Microsoft Exchange. Mimo działań w porozumieniu z innymi jednostkami, DKWOC uważa, że opisana technika nadal może być aktywnie używana przez adwersarzy. Zalecają użycie narzędzi do monitorowania własnych zasobów. Aktywności obserwowane przez DKWOC związane z CVE-2023-23397 i kampanią password-spraying pokrywają się z działaniami "APT28" i "Forrest Blizzard" opisanymi przez amerykańskie, brytyjskie podmioty rządowe oraz Microsoft.

Jak to działa?

Adwersarz rozpoczyna swoje działania od zdobycia dostępu do skrzynki pocztowej. Wykorzystuje ataki typu bruteforce oraz podatność CVE-2023-23397 do wykradnięcia hasha NTLM użytkownika. W następnym etapie modyfikuje uprawnienia do folderów w skrzynce ofiary, głównie zmieniając domyślne uprawnienia grupy „Default” z „None” na „Owner”. Takie zmiany umożliwiają odczyt zawartości folderów przez każdego uwierzytelnionego użytkownika w organizacji. Domyślnie, uprawnienia folderów w skrzynkach pocztowych mają wartość „None” dla grup użytkowników „Default” i „Anonymous”, z wyjątkiem folderu Kalendarz, gdzie dostęp jest ograniczony do odczytu informacji o dostępności czasowej użytkownika.

W przypadkach, które DKWOC zidentyfikowało, uprawnienia do folderów zostały zmienione, zwłaszcza w skrzynkach zawierających informacje o wysokiej wartości. Ta modyfikacja umożliwiła uzyskiwanie nieuprawnionego dostępu do zasobów skrzynek o dużym znaczeniu poprzez skompromitowane konta w organizacji, korzystając z protokołu Exchange Web Services (EWS). Warto zaznaczyć, że tego rodzaju zmiany pozwalają utrzymać nieautoryzowany dostęp do zawartości skrzynki pocztowej nawet po utracie bezpośredniego dostępu.

Co ważne, DKWOC ocenia, że wspomniana technika (MITRE ATT&CK – T1098.002) mogła zostać wykorzystana wobec licznych podmiotów krajowych i zagranicznych, zarówno rządowych jak i sektora prywatnego, ze szczególnym uwzględnieniem tych, które stanowiły cele ataków w kampanii Silence oraz incydentów związanych z kompromitacją serwerów pocztowych Microsoft Exchange.

Wojsko Polskie przestrzega przed atakami na serwery pocztowe. Co zrobić?

Szczegółowy opis znalezionych zagrożeń w Microsoft Exchange znajdziecie na stronach Wojska Polskiego, gdzie poruszane są kwestie technik, które mogą być wykorzystywane przez hakerów i inne, wrogo nastawione, jednostki. Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni opisuje też różne scenariusze i przedstawia rekomendacje związane z dodatkowymi zabezpieczeniami przed potencjalnymi atakami:

  1. Uruchomienie zestawu narzędzi udostępnionych przez DKWOC oraz wdrożenie środków zaradczych zgodnie z instrukcjami. Narzędzia oraz instrukcje znajdują się w załączniku ZIP.
  2. Wdrożenie mechanizmów umożliwiających wykrycie połączeń do skrzynki pocztowej udostępniającej foldery za pomocą innej skrzynki pocztowej na podstawie dzienników zdarzeń z lokalizacji:
      • %ExchangeInstallPath%Logging\HttpProxy\Ews\
      • %ExchangeInstallPath%Logging\Ews\
      • %ExchangeInstallPath%logging\Mapihttp\Mailbox\
  3. Weryfikacja kont posiadających przypisaną rolę ApplicationImpersonation[1].
  4. Weryfikacja ustawień dotyczących delegacji uprawnień do skrzynek pocztowych.
  5. Wdrożenie rekomendacji opisanych przez Microsoft oraz służby USA i GBR
  6. Audyt metod dostępu do poczty elektronicznej w celu identyfikacji potencjalnych wektorów ataku.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Reklama