Polskie Wojska Obrony Cyberprzestrzeni we współpracy z firmą Microsoft zidentyfikowały techniki pozwalającej na odczytywanie zawartości cudzych skrzynek pocztowych Microsoft Exchange, wykorzystywaną na dużą skalę przez rosyjskich hakerów, oraz opracowały narzędzia do weryfikacji i zabezpieczenia luki.
O zagrożeniu dla skrzynek Microsoft Exchange czytamy w komunikatach opublikowanych przez Microsoft oraz polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC). Jak wskazano w obu komunikatach, chodzi o technikę umożliwiającą grupom hakerskim – poprzez zmiany w uprawnieniach dostępu do folderów w skrzynkach pocztowych – niewidoczny dostęp do korespondencji mailowej działającej w usłudze Microsoft Exchange, wykorzystywanej przez różnego rodzaju firmy i instytucje – w tym państwowe – na całym świecie.
“W pierwszym etapie, atakujący uzyskuje dostęp do skrzynek pocztowych poprzez ataki typu brute force (“siłowe” łamanie hasła przez sprawdzanie wszelkich możliwych kombinacji) lub wykorzystanie podatności usługi Microsoft Exchange (CVE-2023-23397) polegającej na wysłaniu specjalnie spreparowanej wiadomości e-mail i wykradnięciu hasha NTLM, dzięki któremu adwersarz może bez jakiejkolwiek reakcji i wiedzy użytkownika uzyskać dostęp do jego skrzynki pocztowej” – czytamy w komunikacie DKWOC.
“Kolejny etap ataku to zmiana uprawnień dostępu do poszczególnych folderów (Skrzynka Odbiorcza, Wysłane, Kopie Robocze etc.). W większości zaobserwowanych przypadków zmiana uprawnień polegała na nadaniu uprawnień właścicielskich (Owner), pozwalających na odczytanie, pobieranie czy usuwanie wiadomości w folderze (ale bez możliwości wysłania wiadomości), grupie uwierzytelnionych użytkowników (grupa Default). W efekcie, każdy użytkownik posiadający konto w tej samej organizacji, mógł odczytać zawartość folderów użytkownika, którego uprawnienia dostępu do folderów zostały tak zmodyfikowane” – podkreślono.
Dokładny opis zagrożenia oraz kroki, które należy podjąć w celu zabezpieczenia zostały zamieszczone na stronach internetowych DKWOC oraz Microsoftu: https://www.wojsko-polskie.pl/woc/articles/aktualnosci-w/wykrywanie-atakow-na-serwery-pocztowe-microsoft-exchange/ oraz https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/ (PAP)