Глобален Exchange хак: Microsoft Exchange Server Zero-day експлойт

Най-малко 30 000 американски организации- сред които значителен брой малки предприятия, градове и местни правителства – са били хакнати през последните няколко дни от необичайно агресивно китайско звено за кибер шпионаж, което е фокусирано върху кражба на имейли от организациите жертви. Китайската хакерска група, за която се смята, че е отговорна, използва четири новоооткрити уязвимости в имейл софтуера на Microsoft Exchange Server и е взела контрола над стотици хиляди сървъри на Microsoft Exchange по целия свят – като всяка система жертва представлява приблизително една организация, която използва Exchange за обработка на имейли.

Какво знаем до сега?

На 02.03.2021 (актуализирана на 04.03.2021/05.03.2021 и 08.03.2021) Microsoft споделиха в публикация в блога си, че са открили множество Zero-Day експлойти, използвани за атаки на локални версии на Microsoft Exchange Server при ограничени и целенасочени атаки. В наблюдаваните до сега атаки, хакерското звено използва тези уязвимости, за да получи достъп до локални Exchange сървъри, които позволяват достъп до имейл акаунти, както и инсталирането на допълнителен злонамерен софтуер с цел улесняване на дългосрочния достъп до системата на жертвата.
На същия ден Microsoft пусна патчове за справяне с четирите сериозни уязвимости в Microsoft Exchange Server софтуера. Въпреки това, степента, до която Exchange Server може да бъде компрометиран, ще зависи от скоростта и приемането на корекциите – и броят на очакваните жертви продължава да расте.

Кои са четирите уязвимости и защо те са важни?

Критичните уязвимости засягат локални Exchange Server 2013, Exchange Server 2016, и Exchange Server 2019. Exchange Online остава незасегнат.

В случай, че уязвимостите се използват във серия от атаки, те могат да доведат до дистанционно изпълнение на код (RCE), backdoor, кражба на данни и потенциално по-нататъшно внедряване на злонамерен софтуер.

В обобщение, Microsoft казва, че нападателите си осигуряват достъп до Exchange Server или чрез тези уязвимости, или чрез откраднати идентификационни данни, като след това създават така наречения зловреден интерфейс webshell. Той им позволява да отвлекат системата и да изпълняват команди от разстояние.
С оглед на критичността на пропуските в сигурността на Exchange, Iphos IT Solutions препоръчва незабавно инсталиране на съответните пачове необходими за тяхното отстраняване.

Кой е отговорен за атаките?

На базата на наблюдаваната виктимология, тактика и процедури, Microsoft Threat Intelligence Center (MSTIC) приписва атаките, в които са използвани Zero-day експлойти, на HAFNIUM.

HAFNIUM е финансирана от държавата група от Китай, която е описана от Microsoft като висококвафилицирана и интелигентна.
Въпреки че, HAFNIUM произхожда от Китай, групата използва мрежа от виртуални частни сървъри (VPS), разположени в САЩ, за да се опита да скрие истинското си местоположение.

Какво следва?

Microsoft призовава ИТ администратори и клиенти незабавно да инсталират патча за сигурност. Но само защото патчовете са инсталирани сега, това не означава, че сървърите вече не са били засегнати от бекдор или компрометирани по друг начин.

В случай, че инсталирането на патчове веднага не е възможно, са налични и временни ръководства за смекчаване.

Компанията съветва да търсите индикатори, че софтуерът е компроментиран. Важно е веднага да копирате всички логове на Microsoft Exchange Server офлайн. Екипът на Microsoft Exchange Server пусна скрипт за проверка на HAFNIUM индикатори за компромис (IOC). Може да го намерите тук.

На 8-ми март Microsoft пусна допълнителен сет с ъпдейти, които могат да бъдат приложени към по-стари неподдържани кумулативни актуализации (CU) като временна мярка.

CISA (Certified Information Systems Auditor) съветва всички организации, забелязали някакви индикатори за подозрително поведение, датиращи още от 1 септември 2020 г., да се изключат от интернет, за да смекчат риска от допълнителни щети.

Искате ли да получите оферта?

Информирайте ни за вашите изисквания, спиделете ни вашите идеи и един от нашите служители ще ви даде първоначална консултация.

След това ще Ви представим груба концепция, както и необвързваща ценова оферта.

Tel: +359 (0)2 44 10 681

E-Mail: office@iphos.bg

15 + 9 =

Компанията

Доказана интернационална компания - за най-добрите ИТ решения. Цялостни услуги в областите Компютърна поддръжка / IT / ITSM, Разработка на софтуер и Уеб приложения. По-бързо, по-компетентно, по-изгодно.

ИТ Инфраструктура

Като системен интегратор, предлагаме цялостни услуги в сферата на администрирането и поддръжката на ИТ инфраструктура. ИТ Мениджмънт / ITSM, базиран на ITIL - компютърна поддръжка, мрежи, сървъри, Linux, Windows, Exchange и др.

Разработка на Софтуер

Изработка на инидивидуализирани софтуерни решения от опитни екипи в България и Австрия. Професионално отношение към клиента и високо качество на услугите. Изработка на десктоп и мобилни приложения, интерфейси, бази данни и др.

Изработка на уеб сайтове

Изработка на уеб сайтове & уеб приложения от най-високо ниво. Максимална разходна ефективност и качество. Уеб решения в областите интранет & екстранет, изработка на уеб сайтове, онлайн магазини & електронна търговия, тарифни калкулатори, SEO & SEM и др.

Iphos IT Solutions

+359 (0)2 44 10 681

 

1618 София, бул. Цар Борис III 168, Ет. 3, Офис 33