Zmasowane ataki na luki w Microsoft Exchange. Ofiarą 5 tys. serwerów
Hakerzy wykorzystują okazję. W ciągu zaledwie 24 godz. zaobserwowano lawinowy wzrost ataków wykorzystujących luki w Microsoft Exchange.
Luki okazały się groźne dla wielu firm na świecie. Można spodziewać się nasilenia ataków – zdaniem ekspertów.
Kilka dni temu Microsoft potwierdził, że cyberprzestępcy pracujący według koncernu dla chińskiego rządu wykorzystali nieznane wcześniej exploity w celu włamania się do Exchange Server. W tym momencie rozpoczął się wyścig pomiędzy hakerami, chcącymi pójść w ślady chińskich cyberprzestępców, a specjalistami ds. bezpieczeństwa.
Z analiz Check Point Research wynika, że w kolejnych dwóch dniach od ogłoszenia luk, nastąpił drastyczny wzrost ataków wykorzystujących wspomniane exploity.
5 tys. serwerów w 115 krajach
Z kolei Eset ustalił kilka dni temu, że już wówczas co najmniej 10 zaawansowanych grup hakerskich wykorzystywało luki zero-day.
Według Esetu ponad 5 tys. serwerów w 115 krajach padło ofiarą ataków związanych z lukami w zabezpieczeniach Microsoft Exchange – na tylu wykryto szkodliwe programy lub skrypty, które umożliwiają zdalne sterowanie serwerem za pośrednictwem przeglądarki internetowej.
Jak ustalił Eset, prawie wszystkie ataki zostały przeprowadzone przez grupy typu APT, które zajmują się głównie szpiegowaniem.
Ktoś informował hakerów?
Jak się wydaje, wiele grup hakerskich uzyskało dostęp do informacji o podatnościach, zanim Microsoft opublikował poprawkę.
Przed jej udostępnieniem liczba ataków gwałtownie wzrosła, jakby cyberprzestępcy wiedzieli, że niedługo błędy zostaną usunięte i spieszyli się, by je wykorzystać.
Według Bloomberga Microsoft bada, czy nie doszło do wycieku, który mógł pochodzić od partnera albo niezależnego badacza bezpieczeństwa.
Urzędy i przemysł najcześciej pod obstrzałem
Ofiarami luk w Exchange są firmy i urzędy na świecie. Najczęściej atakowanym sektorami były: administracja, resort obrony oraz przemysł wytwórczy.
Głównymi celami były przedsiębiorstwa z Turcji (19 proc. odnotowanych ataków), USA (18 proc.) i Włoch (10 proc.).
Z początkiem marca Microsoft udostępnił łatki dla Exchange Server 2013, 2016 i 2019, które naprawiają szereg luk w zabezpieczeniach i chronią przed zdalnym wykonaniem kodu. Dla cyberprzestępców, luki te stanowią furtkę do swobodnego przejęcia podatnej wersji serwera Exchange i to bez konieczności znajomości jakichkolwiek istotnych danych logowania do konta – podaje Eset.
Dalsze dochodzenie Microsoftu ujawniło aż pięć krytycznych luk bezpieczeństwa – twierdzi Check Point.
Wykorzystując część z nich hakerzy mogli odczytywać wiadomości e-mail z serwera Exchange bez uwierzytelniania lub uzyskiwania dostępu do konta e-mail użytkownika.
Dalsze tworzenie łańcuchów luk umożliwiało atakującym całkowite przejęcie kontroli nad samym serwerem poczty. W momencie przejęcia Exchange Server, hakerzy mogli „otworzyć” sieć organizacji i uzyskać do niej zdalny dostęp.
Detekcje Eset dla skryptów typu webshell w okolicy dodania ostatniej łatki Microsoft Exchange, godzina po godzinie
Ransomware w lukach Microsoftu
Według niedawnych ustaleń koncernu z Redmond z luk w systemach ofiar robią użytek hakerzy, instalując ransomware DearCry po włamaniu się na lokalne serwery Microsoft Exchange, w których nie umieszczono udostępnionych łatek.
Eksperci Check Pointa zwracają uwagę, że każda organizacja, która nie wdrożyła poprawek lub nie posiada zaawansowanych systemów ochronnych może być poważnie narażona na ataki.
W takim wypadku nie tylko należy podjąć działania zapobiegawcze, ale również dokładnie przeskanować swoje sieci w celu wykrycia ewentualnych zagrożeń i wycieków danych.
80 tys. serwerów bez poprawek
Microsoft zaleca lokalnym użytkownikom Exchange Server priorytetowe traktowanie łatek wydanych w tym tygodniu dla klientów, którzy nie mogą zaktualizować Exchange do wersji, w której są już dostępne poprawki.
Pozostaje nadal ok. 80 tys. starszych serwerów, które nie mogą bezpośrednio wdrożyć najnowszych aktualizacji zabezpieczeń – twierdzi Palo Alto Networks w serwisie BleepingComputer.
„Nawet te serwery Exchange, które nie mają bezpośredniego połączenia z internetem, powinny zostać uzupełnione o stosowne aktualizacje. W przypadku naruszenia bezpieczeństwa administratorzy powinni usunąć powłoki sieciowe, zmienić dane logowania i prześledzić ewentualną złośliwą aktywność. Ten incydent jest bardzo dobrym przypomnieniem, że złożone aplikacje, takie jak Microsoft Exchange czy SharePoint, nie powinny być dostępne z internetu” – komentuje Matthieu Faou z Esetu.
Podobne aktualności
Polskie firmy głównym celem groźnej kampanii. 26 tys. ataków
Wykryto osiem fal ataków. Metody przestępców są wyjątkowo niebezpieczne - ostrzegają eksperci Esetu.
Prorosyjscy hakerzy znów atakują Polskę
Celem był polski sektor transportu w odwecie za wsparcie logistyczne Ukrainy.
Średnio 1040 cyberataków w tygodniu na polskie firmy
Odnotowano nieznaczny spadek liczby ataków, jednak można wątpić, czy to trwała tendencja.