Kilka dni temu Microsoft potwierdził, że cyberprzestępcy pracujący według koncernu dla chińskiego rządu wykorzystali nieznane wcześniej exploity w celu włamania się do Exchange Server. W tym momencie rozpoczął się wyścig pomiędzy hakerami, chcącymi pójść w ślady chińskich cyberprzestępców, a specjalistami ds. bezpieczeństwa.

Z analiz Check Point Research wynika, że w kolejnych dwóch dniach od ogłoszenia luk, nastąpił drastyczny wzrost ataków wykorzystujących wspomniane exploity.

5 tys. serwerów w 115 krajach

Z kolei Eset ustalił kilka dni temu, że już wówczas co najmniej 10 zaawansowanych grup hakerskich wykorzystywało luki zero-day.

Według Esetu ponad 5 tys. serwerów w 115 krajach padło ofiarą ataków związanych z lukami w zabezpieczeniach Microsoft Exchange – na tylu wykryto szkodliwe programy lub skrypty, które umożliwiają zdalne sterowanie serwerem za pośrednictwem przeglądarki internetowej.

Jak ustalił Eset, prawie wszystkie ataki zostały przeprowadzone przez grupy typu APT, które zajmują się głównie szpiegowaniem.

Ktoś informował hakerów?

Jak się wydaje, wiele grup hakerskich uzyskało dostęp do informacji o podatnościach, zanim Microsoft opublikował poprawkę.

Przed jej udostępnieniem liczba ataków gwałtownie wzrosła, jakby cyberprzestępcy wiedzieli, że niedługo błędy zostaną usunięte i spieszyli się, by je wykorzystać.

Według Bloomberga Microsoft bada, czy nie doszło do wycieku, który mógł pochodzić od partnera albo niezależnego badacza bezpieczeństwa.

Urzędy i przemysł najcześciej pod obstrzałem

Ofiarami luk w Exchange są firmy i urzędy na świecie. Najczęściej atakowanym sektorami były: administracja, resort obrony oraz przemysł wytwórczy.

Źródło: Check Point

Głównymi celami były przedsiębiorstwa z Turcji (19 proc. odnotowanych ataków), USA (18 proc.) i Włoch (10 proc.).

Źródło: Check Point

Z początkiem marca Microsoft udostępnił łatki dla Exchange Server 2013, 2016 i 2019, które naprawiają szereg luk w zabezpieczeniach i chronią przed zdalnym wykonaniem kodu. Dla cyberprzestępców, luki te stanowią furtkę do swobodnego przejęcia podatnej wersji serwera Exchange i to bez konieczności znajomości jakichkolwiek istotnych danych logowania do konta – podaje Eset.

Dalsze dochodzenie Microsoftu ujawniło aż pięć krytycznych luk bezpieczeństwa – twierdzi Check Point.

Wykorzystując część z nich hakerzy mogli odczytywać wiadomości e-mail z serwera Exchange bez uwierzytelniania lub uzyskiwania dostępu do konta e-mail użytkownika.

Dalsze tworzenie łańcuchów luk umożliwiało atakującym całkowite przejęcie kontroli nad samym serwerem poczty. W momencie przejęcia Exchange Server, hakerzy mogli „otworzyć” sieć organizacji i uzyskać do niej zdalny dostęp.

Detekcje Eset dla skryptów typu webshell w okolicy dodania ostatniej łatki Microsoft Exchange, godzina po godzinie

Ransomware w lukach Microsoftu

Według niedawnych ustaleń koncernu z Redmond z luk w systemach ofiar robią użytek hakerzy, instalując ransomware DearCry po włamaniu się na lokalne serwery Microsoft Exchange, w których nie umieszczono udostępnionych łatek.

Eksperci Check Pointa zwracają uwagę, że każda organizacja, która nie wdrożyła poprawek lub nie posiada zaawansowanych systemów ochronnych może być poważnie narażona na ataki.

W takim wypadku nie tylko należy podjąć działania zapobiegawcze, ale również dokładnie przeskanować swoje sieci w celu wykrycia ewentualnych zagrożeń i wycieków danych.

80 tys. serwerów bez poprawek

Microsoft zaleca lokalnym użytkownikom Exchange Server priorytetowe traktowanie łatek wydanych w tym tygodniu dla klientów, którzy nie mogą zaktualizować Exchange do wersji, w której są już dostępne poprawki.

Pozostaje nadal ok. 80 tys. starszych serwerów, które nie mogą bezpośrednio wdrożyć najnowszych aktualizacji zabezpieczeń – twierdzi Palo Alto Networks w serwisie BleepingComputer.

„Nawet te serwery Exchange, które nie mają bezpośredniego połączenia z internetem, powinny zostać uzupełnione o stosowne aktualizacje. W przypadku naruszenia bezpieczeństwa administratorzy powinni usunąć powłoki sieciowe, zmienić dane logowania i prześledzić ewentualną złośliwą aktywność. Ten incydent jest bardzo dobrym przypomnieniem, że złożone aplikacje, takie jak Microsoft Exchange czy SharePoint, nie powinny być dostępne z internetu” – komentuje Matthieu Faou z Esetu.