Dušan DINGARAC

1. april 2021.

Računarski napadi, najčešće bazirani na bezbednosnim propustima u softveru, već odavno su naša svakodnevica. Neprekidna igra otkrivanja propusta od strane dobrih i loših, kao i objavljivanja ispravki softvera od strane proizvođača softvera je, takođe, deo naše svakodnevice. S vremena na vreme, neki od propusta omoguće napade koji utiču na veliki broj sistema u svetu i kada loši momci to iskoriste, onda mediji bruje o problemu.

Mnogo je primera koji su postali poznati zbog inovativnosti i velike rasprostranjenosti: pomenućemo samo WannaCry iz 2017. godine. Međutim, po pravilu, propust koji napravi velike probleme nalazi se u operativnim sistemima. Ovoga puta situacija je drugačija. Problem je izazvao mejl server.

Zasto je Exchange toliko bitan? Na tržištu e-mail servera ovaj Microsoftov proizvod počistio je konkurenciju u veoma bitnom segmentu - kompanija i organizacija koje nemaju problema sa budžetima, a nisu dovoljno moderne da koriste e-mail u oblaku i žele da imaju mail server na sopstvenim serverima (tzv. on premise). Kroz dugogodišnju mudru integraciju Exchange servera sa Outlook e-mail klijentom koji je nerazdvojni deo Office paketa, Exchange je danas jedini ozbiljan mail server, de facto standard. Naravno, i dalje milioni korisnika koriste razne mail servere na Linux serverima, kroz razne shared hostinge, besplatne e-mail platforme, ali i mejl u oblaku (korisnici Microsoft Office 365 i Google Workspace) uz nekoliko slabo zastupljenih rešenja koja bi mogla da konkurišu Exchangeu. Upravo zbog takve pozicije na tržištu, ovi bezbednosni propusti imali su veliki uticaj, gotovo kao da je u pitanju propust na najzastupljenijim operativnim sistemima. Pri tome, e-mail server, da bi obavljao svoju funkciju, uvek je dostupan na internetu i lako se pronalazi preko sistema domena (upitom u DNS) i još lakše identifikuje da li je u pitanju Exchange server. Uz to, veliki broj instalacija ima omogućen pristup veb-mejl sistemu Exchangea (tzv. OWA), koji je ključan za ovaj zaplet.

Propust, tačnije, četiri propusta koji se koriste sinhronizovano da bi se ostvario administratorski pristup i omogućilo izvršavanje bilo kog kôda, otkrio je DEVCORE (devco.re). U pitanju je firma sa Tajvana koja se bavi bezbednošću računarskih sistema. Oni su povodom celog slučaja otvorili poseban sajt na adresi proxylogon.com, na kome se nalazi bliži opis problema, kao i koraci koje su oni preduzimali. Prema njihovoj tvrdnji, početkom oktobra 2020. godine, počeli su da istražuju bezbednost Exchange servera. Desetog decembra, pronašli su prvi propust (pre-auth proxy CVE-2021-26855), a sedamnaest dana kasnije uspeli su da ga iskoriste da zaobiđu sistem logovanja i dobiju administratorske privilegije. Tri dana kasnije i druge propuste (post-auth arbitrary-file-write CVE-2021-27065) i poslednjeg dana prošle godine uspeli su da sklope sve kockice i ostvare izvršavanje bilo kog kôda (pre-auth Remote Code Execution). Petog januara, DEVCORE šalje Microsoftu podatke o svojim otkrićima preko MSRC portala.

Nakon toga, teče, uglavnom, uobičajena komunikacija između istraživača i proizvođača softvera, Microsoft polako nalazi način da napravi zakrpe za sve tri verzije Exchangea koje su podložne ovom propustu (verzije 2013, 2016 i 2019) i planira da ih objavi devetog marta. Međutim, Microsoft objavljuje zakrpe trećeg marta, usled napada na Exchange servere koji su se dešavali krajem februara, upravo koristeći ProxyLogon propuste. Uz dva navedena i propusti CVE-2021-26857 i CVE-2021-26858 korišćeni su za zaokruživanje napada.

Prema analizama kompanija koje su napade otkrile, napadi su korišćeni već od šestog januara, dakle, od dana kada je Microsoft potvrdio prijem obaveštenja DEVCORU. Pritom, napadi su izvođeni sa cloud platformi iz SAD, poput DigitalOceana, što je zavaralo mnoge mehanizme koje ima NSA. Naime, nakon skandala sa Snoudenovim objavama aktivnosti NSA, stvari su malo pooštrene i NSA zvanično ne sme da nadgleda dešavanja unutar SAD. Zbog toga su ove aktivnosti ostale neprimećene, jer ih druge agencije nisu otkrile. Stvar su otkrile privatne firme koje se bave računarskom bezbednošću, dok su pregledale servere državnih institucija. Sve to, možda, ne bi diglo toliku prašinu da se nije otkrilo da iza napada stoje Kinezi. Bar je tako Microsoft zvanično saopštio, optužujući HAFNIUM, kinesku hakersku grupu, koju, prema tvrdnjama Microsofta, podržava Kineska Vlada. I, eto haosa u SAD, u kome je najlakše optužiti Kinu i Rusiju (npr. za SolarWind napad tokom prošle godine).

Da li su hakeri zaista u dosluhu sa Kineskom Vladom, zapravo, nema mnogo značaja. Zanimljivo je da su napadi počeli odmah po prijavi problema Microsoftu, kome je trebalo gotovo dva meseca da izbaci zakrpe. Kako su se saznale informacije da Microsoft završava radove na zakrpama, tako su se napadači ubrzali, a to je već pominjani kraj februara. F-secure komentariše da u jednom periodu nisu stizali da izbroje porast broja napadnutih sistema. Da li je informacija o propustu procurela od DEVCOR-a, koji se kune da nije od njih ili putem neke vrste špijunaže Hafniuma, da li od nekog stranog istraživača ili Microsofta, nije ni bitno. Ovakve stvari sigurno će se dešavati i ubuduće i biće ih teško sprečiti. U celom ovom ludilu u jednom trenutku se na GitHub-u pojavio kôd koji koristi ProxyLogon propust za napad. Da ironija bude veća, GitHub je u vlasništvu Microsofta. Kôd je ubrzo uklonjen.

Jedna od zanimljivosti ovog napada je to da ga je vrlo lako reprodukovati i još lakše automatizovati. Zato je i došlo do velikog broja upada u sisteme. Problem koji je ovaj propust izazvao trajaće još dugo. Naime, u većini napada izvršavan je webshell kôd koji je otvorio prostor za razni drugi malware. Čak i kada se primene zakrpe koje je Microsoft napravio, ovi pritajeni neprijatelji ostaju, pa se mogu očekivati razni napadi ukoliko se svi oni ne detektuju i ne očiste. A napadi mogu da budu od nekih ucenjivačkih enkripcija (već se pojavio jedan ransomware koji koristi ProxyLogon pod nazivom BlackKingdom), čisto za punjenje budžeta loših momaka, do vrlo sofisticiranih krađa podataka i ko zna čega sve ne... Početkom marta, procene su govorile da bar deset hakerskih grupa aktivno primenjuje ProxyLogon.

Koliko tih Exchange servera ima u svetu, koliko ih je bilo podložno napadu, koliko ih je napadnuto? Same brojke možda ne govore o tome ko je napadnut, ali govore o razmerama problema. Posebno, jer neće svako da se hvali da je napadnut i time naruši svoju reputaciju ili obori cene akcija na berzi.

Brojevi o serverima koji su bili podložni napadu, koji su i dalje ranjivi nekoliko dana nakon objavljivanja zakrpa i servera koji su napadnuti, veoma se razlikuju. Pominju se brojevi od šesto hiljada, četiristo hiljada i 125 hiljada servera koji su bili podložni napadu. Brojevi problematičnih servera nekoliko dana nakon objavljivanja zakrpa su sto hiljada, devedeset devet, plus preko sto hiljada kod kojih je pitanje statusa zakrpa, pa 82 hiljade. Recimo da sistem zakrpa na tim serverima radi slično kao i desktop Windows sistem zakrpa, ali u velikim organizacijama nije baš jednostavno primeniti zakrpe van planiranih „prozora”. Dešava se da zbog toga ovi sistemi nisu automatski uključeni. Takođe, ponekad bude i problema prilikom primene zakrpa, a deo sistema nema baš toliko administratora koji će se brinuti 24/7 o njima.

Zbog toga je Microsoft deo zakrpa koje onemogućavaju napade odlučio da primeni putem Defender antivirus sistema, što je smanjilo broj problematičnih servera na ispod 30 hiljada. Jedna od novijih informacija bila je da je samo osam odsto svih IP adresa sa Exchange serverima još uvek problematično.

Ko je sve pogođen ovim napadima? Tačnije, ko zna da je napadnut i bio je spreman ili primoran da to objavi. Jedna bezbednosna kompanija ima spisak od 86 hiljada IP adresa koje su inficirani putem ovog propusta. Zna se da je Parlament Norveške bio blokiran, a za druge ćemo čuti kasnije kada ih budu napali preko ubačenih alatki, koje će bit aktivirane kada dođe vreme.

Poznate su statistike o tome koje su oblasti industrije napadane, procenti pokušanih napada na državne institucije, ali možda najzanimljiviji su preseci po zemljama. Ranjivih Exchange servera je najviše bilo u SAD i Nemačkoj, slede Velika Britanija, Francuska, Italija i Rusija.

Da li ćemo nešto naučiti iz ovog događaja? Odgovor na pitanje svakako je potvrdan, ali naučeno neće biti dovoljno da se ovakve stvari preduprede u budućnosti. Možda će SAD ponovo dozvoliti da NSA „čuva” interni internet prostor, možda će Microsoft sledeći put brže delovati, makar pri blokiranju napada dok ne izda kompletne zakrpe. Možda sledeći put napad bude i bolje dočekan, mada je mnogo faktora uključeno u proces i teško se može na sve njih uticati. Možda ovaj napad natera više korisnika da se okrenu korišćenju e-mail servisa u oblaku. Mnogo je pretpostavki, a o svemu ćemo ponovo pričati kod novog velikog napada.