Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni wraz ze specjalistami firmy Microsoft potwierdzili atak hakerski na wielką skalę dotyczący dostępu do skrzynek mejlowych systemu poczty Microsoft Outlook.
Potwierdzono, że rosyjscy hakerzy wykorzystali techniki polegające na modyfikacji uprawnień do folderów skrzynki pocztowej w ramach serwerów Microsoft Exchange. Umożliwia ona atakującemu zapewnienie skrytego, nieuprawnionego dostępu do korespondencji pocztowej i była stosowana po uzyskaniu dostępu do kont pocztowych. Ten sposób mógł być wykorzystany wobec licznych instytucji krajowych i zagranicznych, zarówno rządowych jak i sektora prywatnego.
Na czym polega atak hakerski na skrzynki pocztowe?
O wykrytych technikach stosowanych przez hakerów z Rosji informuje komunikat Wojska Polskiego.
W pierwszym etapie, atakujący uzyskuje dostęp do skrzynek pocztowych poprzez ataki typu brute force (+siłowe+ łamanie hasła przez sprawdzanie wszelkich możliwych kombinacji) lub wykorzystanie podatności usługi Microsoft Exchange (CVE-2023-23397) polegającej na wysłaniu specjalnie spreparowanej wiadomości e-mail i wykradnięciu hasha NTLM, dzięki któremu adwersarz może bez jakiejkolwiek reakcji i wiedzy użytkownika uzyskać dostęp do jego skrzynki pocztowej" - czytamy w komunikacie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni.
Kolejny etap ataku to zmiana uprawnień dostępu do poszczególnych folderów (Skrzynka Odbiorcza, Wysłane, Kopie Robocze etc.). W większości zaobserwowanych przypadków zmiana uprawnień polegała na nadaniu uprawnień właścicielskich (Owner), pozwalających na odczytanie, pobieranie czy usuwanie wiadomości w folderze (ale bez możliwości wysłania wiadomości), grupie uwierzytelnionych użytkowników (grupa Default). W efekcie, każdy użytkownik posiadający konto w tej samej organizacji, mógł odczytać zawartość folderów użytkownika, którego uprawnienia dostępu do folderów zostały tak zmodyfikowane.
Cechą charakterystyczną dla działań prowadzonych przez adwersarza jest modyfikacja uprawnień do wszystkich folderów w ramach skrzynki pocztowej w ciągu kilku sekund, co fizycznie wyklucza możliwość wprowadzenia tych zmian ręcznie przez użytkownika. To potwierdza działanie hakerskie przy zastosowaniu specjalnych programów.
Foldery w skrzynce użytkownika były przejmowane i modyfikowane, a następnie hakerzy pobierali zawartość za pośrednictwem innego konta pocztowego, w ramach tej samej organizacji.
Jak się zabezpieczyć przed atakiem na skrzynkę mejlową?
Dowództwo wojsk podkreśla w komunikacie, że opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W ramach Krajowego Systemu Cyberbezpieczeństwa przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.
Dowództwo wojsk rekomenduje wdrożenie niżej wymienionych zaleceń. W przypadku stwierdzenia podejrzanych modyfikacji uprawnień DKWOC zaleca kontakt z właściwym zespołem CSIRT poziomu krajowego.
- 1. Uruchomienie zestawu narzędzi udostępnionych przez DKWOC oraz wdrożenie środków zaradczych zgodnie z instrukcjami
- 2. Wdrożenie mechanizmów umożliwiających wykrycie połączeń do skrzynki pocztowej udostępniającej foldery za pomocą innej skrzynki pocztowej.
- 3. Weryfikacja kont
- 4. Weryfikacja ustawień dotyczących delegacji uprawnień do skrzynek pocztowych.
- 5. Wdrożenie rekomendacji opisanych przez Microsoft.
Użytkownicy kont pocztowych Microsoft Outlook powinni zapoznać się z rekomendacjami Microsoft.
