Wojska Obrony Cyberprzestrzeni razem z Microsoft zidentyfikowały technikę pozwalającą na włamania do skrzynek mailowych

O zagrożeniu dla skrzynek Microsoft Exchange czytamy w komunikatach opublikowanych przez Microsoft oraz polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC). Jak wskazano w obu komunikatach, chodzi o technikę umożliwiającą grupom hakerskim - poprzez zmiany w uprawnieniach dostępu do folderów w skrzynkach pocztowych - niewidoczny dostęp do korespondencji mailowej działającej w usłudze Microsoft Exchange, wykorzystywanej przez różnego rodzaju firmy i instytucje - w tym państwowe - na całym świecie.

W komunikacie DKWOC zaznaczono, że analizy WOC potwierdziły "szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce" z wykorzystaniem tej techniki.

"W pierwszym etapie, atakujący uzyskuje dostęp do skrzynek pocztowych poprzez ataki typu brute force (+siłowe+ łamanie hasła przez sprawdzanie wszelkich możliwych kombinacji - PAP) lub wykorzystanie podatności usługi Microsoft Exchange (CVE-2023-23397) polegającej na wysłaniu specjalnie spreparowanej wiadomości e-mail i wykradnięciu hasha NTLM, dzięki któremu adwersarz może bez jakiejkolwiek reakcji i wiedzy użytkownika uzyskać dostęp do jego skrzynki pocztowej" - czytamy w komunikacie DKWOC.

"Kolejny etap ataku to zmiana uprawnień dostępu do poszczególnych folderów (Skrzynka Odbiorcza, Wysłane, Kopie Robocze etc.). W większości zaobserwowanych przypadków zmiana uprawnień polegała na nadaniu uprawnień właścicielskich (Owner), pozwalających na odczytanie, pobieranie czy usuwanie wiadomości w folderze (ale bez możliwości wysłania wiadomości), grupie uwierzytelnionych użytkowników (grupa Default). W efekcie, każdy użytkownik posiadający konto w tej samej organizacji, mógł odczytać zawartość folderów użytkownika, którego uprawnienia dostępu do folderów zostały tak zmodyfikowane" - podkreślono.

"Cechą charakterystyczną dla działań prowadzonych przez adwersarza jest modyfikacja uprawnień do wszystkich folderów w ramach skrzynki pocztowej w relatywnie krótkim czasie (kilku sekund), co fizycznie wyklucza możliwość wprowadzenia tych zmian ręcznie przez użytkownika. W przypadkach zaobserwowanych przez DKWOC, adwersarz modyfikował w taki sposób foldery w skrzynce użytkownika, który stanowił dla niego wartościowe źródło informacji, a następnie pobierał zawartość jego skrzynki pocztowej za pośrednictwem innego konta pocztowego, w ramach tej samej organizacji" - dodano.

DKWOC podkreśla również w komunikacie, że opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W ramach Krajowego Systemu Cyberbezpieczeństwa przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.

Z kolei Microsoft wskazał w komunikacie, że luka w zabezpieczeniach wykorzystana została m.in. przez powiązaną z rosyjskim GRU grupą hakerską "Forest Blizzard". Rosyjscy hakerzy wykorzystują tzw. krytyczną podatność CVE-2023-23397 w systemach Microsoftu, by uzyskać dostęp do interesujących ich skrzynek pocztowych - przede wszystkim związanymi z instytucjami rządowymi, zajmującymi się energetyką i transportem w USA, Europie oraz na Bliskim Wschodzie.

Jak poinformowano na profilu Microsoftu poświęconym cyberbezpieczeństwu na portalu X (Twitterze), spółka współpracuje z polskimi Wojskami Obrony Cyberprzestrzeni w działaniach przeciwko "Forest Blizzard" w zakresie identyfikacji i przeciwdziałania zagrożeń. "Dziękujemy DKWOC za partnerstwo i współpracę w tej kwestii" - czytamy.

DKWOC oceniło, że sposób działania atakujących świadczy o ich wysokich kompetencjach technicznych oraz gruntownej wiedzy na temat systemów Microsoftu. "Identyfikacja tego typu ataku jest trudna z uwagi na brak wykorzystania jakichkolwiek narzędzi ofensywnych, które mogłyby zostać wykryte przez systemy cyberbezpieczeństwa" - czytamy.

W komunikacie dodano, że w chwili publikacji opisana technika hakerska może być wciąż aktywnie wykorzystywana. "W związku z powyższym DKWOC rekomenduje wykorzystanie opracowanych narzędzi oraz wdrożenie środków zaradczych zgodnie z załączonymi instrukcjami. Opracowane narzędzia stanowią autorskie rozwiązanie DKWOC pozwalające na weryfikację wystąpienia modyfikacji folderów pocztowych oraz przywrócenie pożądanych ustawień dostępu w środowiskach pocztowych MS Exchange o infrastrukturze: +on-prem+, hybrydowej oraz chmurowej" - wskazano.

Dokładny opis zagrożenia oraz kroki, które należy podjąć w celu zabezpieczenia zostały zamieszczone na stronach internetowych DKWOC oraz Microsoftu: https://www.wojsko-polskie.pl/woc/articles/aktualnosci-w/wykrywanie-atakow-na-serwery-pocztowe-microsoft-exchange/ oraz https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/.