Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล
กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้
CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858
หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้
จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม
การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่
สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.