A Microsoft Exchange szerverek hosszú évek óta a cégek és kormányzati szervezetek egyik legfontosabb kommunikációs eszközei közé tartoznak. Ugyanakkor, ezek az infrastruktúrák gyakran a támadók célkeresztjében állnak, különösen, ha azok nyilvánosan elérhetők az interneten. A Positive Technologies legfrissebb elemzése szerint az Exchange szerverek újabb támadási hullámmal néznek szembe, amelynek során azonosítatlan fenyegető szereplők (unidentified threat actors) kulcsnaplózó JavaScript kódot injektálnak a bejelentkezési oldalakba.
A támadás működése
A kutatók kétféle keylogger típust azonosítottak, amelyeket a kiberbűnözők az Outlook Web Access (OWA) bejelentkező oldalába ágyaztak be:
- Helyi fájlba mentő keylogger – A megszerzett bejelentkezési adatokat (felhasználónév és jelszó) egy helyi szerveren tárolt fájlba menti, amely az internetről is elérhető.
- Azonnali továbbítást végző keylogger – A begyűjtött adatokat valós időben küldi egy külső szerverre (például Telegram boton keresztül).
Mindkét megoldás lehetővé teszi a támadók számára, hogy titokban megszerezzék a felhasználók hitelesítési adatait, a detektálás minimális esélyével.
A támadás technikai részletei
A támadási lánc általában ismert Exchange Server sebezhetőségek kihasználásával kezdődik. A támadók a következő CVE-azonosítóval ellátott sérülékenységeket használták fel:
- CVE-2014-4078 – IIS biztonsági megkerülés
- CVE-2020-0796 – SMBv3 távoli kódfuttatási hiba
- ProxyLogon sebezhetőségek
- ProxyShell sebezhetőségek
Miután a támadó hozzáférést szerzett a szerverhez, módosítja az OWA bejelentkező oldal forráskódját úgy, hogy az űrlapon keresztül beküldött adatokat (pl. felhasználónév és jelszó) JavaScript segítségével elfogja A következő lépésként ezeket az adatokat vagy:
- egy helyi fájlba menti a szerveren, amely később HTTP-n keresztül elérhető, vagy
- elküldi egy külső szerverre, például Telegram API-n keresztül.
Telegram alapú kiszivárogtatás során az adatok egy XHR GET kérésben kerülnek továbbításra, az APIKey és AuthToken HTTP-fejlécekbe ágyazva.
DNS-alapú adatlopás
Egy másik észlelt módszer a DNS-alagút (DNS tunneling), amelyet HTTPS POST kérésekkel kombinálnak. Ennek célja, hogy az adatokat rejtve, a hálózati forgalom elemzésének kijátszásával juttassák ki az áldozat hálózatából.
Érintett célpontok
A támadási kampány 2021 óta aktív, és mára 65 különböző célpontját azonosították 26 országban. A leggyakrabban érintett szektorok:
- Kormányzati szervek
- IT szektor
- Ipar és logisztika
- Oktatási intézmények
- Bankok
A földrajzi eloszlás alapján a leginkább érintett országok között szerepel Vietnám, Oroszország, Tajvan, Kína, Pakisztán, Libanon, Ausztrália, Zambia, Hollandia és Törökország.
A támadás veszélyei
Az ilyen típusú támadások különösen veszélyesek, ugyanis:
- Nagyon nehéz észlelni – A lokálisan mentett adatokat nem küldik ki az internetre, így a kimenő forgalom elemzésével sem derül ki a támadás.
- Tartós jelenlét – A beágyazott JavaScript csak felhasználói interakció során aktiválódik, így hosszú ideig észrevétlenül működhet.
- Valós idejű adatlopás – A Telegram vagy DNS-alapú továbbítás lehetővé teszi a támadók számára, hogy azonnal hozzáférjenek a hitelesítési adatokhoz.
Megelőzés és javasolt védekezési módszerek
- Exchange Server frissítése
Első és legfontosabb lépés minden szervezet számára a legfrissebb biztonsági javítások telepítése. A ProxyLogon és ProxyShell sérülékenységekre már elérhetők a javítások, de számos szerver továbbra is sebezhető maradt.
- Webalkalmazás integritás ellenőrzése
A bejelentkezési oldalak forráskódjának rendszeres ellenőrzése eltérések után kutatva kulcsfontosságú. Bármilyen nem dokumentált JavaScript vagy XHR kérés gyanúra adhat okot.
- WAF (Web Application Firewall) bevezetése
A webes támadások jelentős része megelőzhető vagy blokkolható egy megfelelően konfigurált WAF rendszerrel.
- Hálózati viselkedés-elemzés
Bár egyes módszerek nem generálnak kimenő forgalmat, mások – például a Telegram vagy DNS-alapú exfiltráció – gyanús viselkedést produkálnak, amely észlelhető egy jól konfigurált IDS/IPS vagy SIEM rendszerrel.
Összegzés
Az Exchange szervereket célzó támadások újabb hulláma világosan rámutat arra, mennyire fontos a naprakész védelem és az aktív felügyelet. A támadók kifinomult módszereket alkalmaznak, amelyek hosszú ideig rejtve maradhatnak. A szervezetek számára kulcsfontosságú, hogy biztonságtudatosan kezeljék az internet irányából nyitott szolgáltatásaikat, és proaktív lépéseket tegyenek a fenyegetések kivédésére.