Chińczycy zaatakowali setki tysięcy firm i organizacji używających Exchange Servera

| Bezpieczenstwo IT
simonok, sxc.hu

Co najmniej 30 000 firm i organizacji w USA padło ofiarami ataków, które zostały przeprowadzone dzięki czterem nowo odkrytym dziurom w oprogramowaniu do poczty elektronicznej microsoftowego Exchange Servera. Jak poinformował ekspert ds. bezpieczeństwa, Brian Krebs, chińscy cyberprzestępcy zarazili sieci setki tysięcy organizacji narzędziami,które dają napastnikowi całkowity zdalny dostęp do zarażonych systemów.

Microsoft opublikował poprawki 2 marca i zachęca użytkowników Exchange Servera do ich pilnego zainstalowania. Jednocześnie jednak firma poinformowała, że pojawienie się poprawek sprowokowało chińskich cyberprzestępców – grupę, której nadano nazwę „Hafnium” – do zintensyfikowania ataków na niezałatane instalacje Exchange Servera. Eksperci ostrzegają, że przestępcy wciąż mają dostęp do serwerów zhakowanych przed zainstalowaniem łatek. Łatanie nie działa, jeśli serwery już wcześniej zostały skompromitowane. Ci, którzy wykorzystują  powinni sprawdzić, czy nie padli ofiarami ataku, oświadczył amerykański National Security Council. Brian Krebs Dodaje, że użytkownicy Outlook Web Access serwera powinni sprawdzić okres pomiędzy 26 lutego a 3 marca. To właśnie w tym czasie mogło dojść do ataków. Zaniepokojenie problemem i rosnącą liczbą ofiar wyraził też Biały Dom.

Nowo odkryte błędy pozwalają przestępcom na zdalne wykonanie kodu. Do przeprowadzenia pierwszego ataku konieczna jest możliwość ustanowienia niezabezpieczonego połączenia z portem 443 Exchange Servera, informuje Microsoft. Wspomniane błędy odkryto w oprogramowaniu Exchange Server 2013, 2016 i 2019.

Chińska grupa Hafnium, która przeprowadza wspomniane ataki najpierw wykorzystuje dziury typu zero-day lub ukradzione hasła, by dostać się do atakowanego systemu. Następnie instalowana jest tam powłoka, dająca przestępcom zdalny dostęp. Później system jest stopniowo infiltrowany i kradzione są z niego dane.

Chiński rząd zapewnił, że nie stoi za atakami.

Exchange Server atak luka dziura Hafnium