Útoky zneužívající slabiny v Microsoft Exchange Serveru se dotkly i ČR
Zpět na blogMicrosoft varoval před aktivními útoky, které se týkají neopatchovaných Exchange Serverů. Útoky má na svědomí zřejmě několik aktérů a dotkly se vládních subjektů v USA, Asii a Evropě.
Microsoft vyzval všechny své zákazníky, aby okamžitě nainstalovali nejnovější záplaty a chránili se tak před skupinou velmi sofistikovaných útočníků, kteří se snaží zneužít zranitelnosti nultého dne v Exchange Serveru. Podle Microsoftu útočníci využívají dříve neznámé exploity k proniknutí do Exchange Serveru.
Společnost také uvedla, že „nadále zaznamenává zvýšené využívání těchto zranitelných míst při útocích zaměřených na neopravené systémy ze strany více škodlivých aktérů“, což signalizuje, že útoky již nejsou omezené a cílené, jak se původně předpokládalo.
Oběti jsou hlášeny z USA a zasaženy byly rovněž e-mailové systémy patřící podnikům v Norsku a České republice – cílem u nás se stal systém veřejné správy, přičemž jedním z cílů bylo i ministerstvo práce a sociálních věcí. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se útokem zabývá i s kriminalisty a pomáhá zasaženým organizacím minimalizovat škody.
Neopravené Exchange Servery jsou riziko
Úspěšné zneužití neopravených chyb umožňuje útočníkům proniknout do Microsoft Exchange Serveru v cílovém prostředí a následně umožnit instalaci neautorizovaných zadních vrátek usnadňujících dlouhodobý přístup.
Před zranitelnostmi s označením CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 a CVE-2021-26858varuje také NÚKIB, který upozornil, že jsou stále aktivně zneužívány. Zranitelnosti se týkají Exchange Server 2010, 2013, 2016 a 2019, služba Exchange Online zranitelná není.
Bezpečnostní problémy Microsoft vyřešil prostřednictvím mimořádné bezpečnostní aktualizace a společnost zároveň varovala, že „mnoho národních aktérů a zločineckých skupin bude rychle jednat, aby využilo všechny neopravené systémy“.
Je důležité zmínit, že pouhá instalace záplat vydaných Microsoftem nemá žádný vliv na servery, které již byly napadeny. Organizacím, které byly napadeny za účelem nasazení webové vrstvy pro přístup a dalších nástrojů pro následné zneužití, nadále hrozí riziko kompromitace, dokud nebudou veškeré škodlivé artefakty zcela odstraněny z jejich sítí.
Tým společnosti Mandiant FireEye uvedl, že od začátku roku „zaznamenal více případů zneužití Microsoft Exchange Serveru“. Firma zabývající se kybernetickou bezpečností Volexity, která je jednou ze společností, jimž se připisuje odhalení těchto zranitelností, uvedla, že kampaně začaly kolem 6. ledna 2021.
O totožnosti útočníků toho není známo mnoho, kromě toho, že Microsoft primárně připisuje útoky skupině Hafnium podporované čínskou vládou. Mandiant sleduje aktivity vniknutí ve třech uskupeních, UNC2639, UNC2640 a UNC2643, a dodává, že očekává, že se jejich počet bude zvyšovat s tím, jak bude odhaleno více útoků. V prohlášení pro agenturu Reuters mluvčí čínské vlády popřel, že by za útoky stála Čína. Spekuluje se tedy o tom, že skupina Hafnium sdílela či prodávala využívaný kód, což vedlo k tomu, že ostatní skupiny byly schopny zneužívat slabiny pro vlastní aktivity.
Liší se i účel kompromitace – byl například zaznamenán případ, kdy měla firma používající Exchange Server v síti nasazený ktyptominer zvaný DLTminer, což je malware, který Carbon Black zdokumentoval v roce 2019.
Kromě uvolnění oprav Microsoft zveřejnil nové alternativní pokyny ke zmírnění rizika útoků, které mají pomoci uživatelům Exchange Serveru, kteří potřebují více času na opravu. Společnost uvolnila také novou aktualizaci nástroje MSERT (Microsoft Safety Scanner) pro detekci webových shellů a skript pro kontrolu indikátorů kompromitace. Najít je můžete zde.
Zdroj: THN, Microsoft
10. 3. 2021