Zranitelností poštovních serverů Microsoft Exchange přitahuje pozornost hackerů

Začátkem března 2020 vydal Microsoft pro Exchange Server 2013, 2016 a 2019 bezpečnostní záplaty opravující zranitelnosti pre-autentizačního vzdáleného spuštění kódu (RCE) - tato technika umožňuje převzetí kontroly nad zranitelným Exchange serverem publikovaným své OWA rozhraní do internetu, aniž by bylo nutné znát platné přihlašovací údaje.

"Den po vydání opravy, jsme zaznamenali, jak řada útočníků skenuje a kompromituje zranitelné servery Exchange. Zajímavostí je, že kromě známých e-špionážních APT skupin prováděla tuto činnost i jedna, která se zaměřuje primárně na aktivity spojené s těžbou kryptoměn. Nicméně je jisté, že se k těmto zranitelným serverům budou chtít rychle dostat i další kyberzločinci, včetně tvůrců ransomware. Jen v Česku vidíme téměř 3000 Microsoft Exchange serverů, které jsou otevřené do internetu, a kterým tak hrozilo bez aplikace bezpečnostních záplat bezprostřední riziko zneužití této zranitelnosti," říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

Podle dat je zřejmé, že útočníci zkoumali zranitelnost už před vydáním bezpečnostních oprav, lze tak vyloučit, že by se útočníci pokoušeli servery prolomit reverzní analýzou samotné opravy.

Nyní je důležité, aby firmy nainstalovaly na své servery příslušné aktualizace co nejdříve. Aktualizaci by měly mít i ty servery, které do internetu vystavené přímo nejsou.

Pokud už k kompromitaci došlo, měli by administrátoři malware odstranit, změnit přístupové údaje a prověřit, zda na serveru nedošlo k dalším aktivitám útočníků.

ESET identifikoval více než 10 různých útočných skupin, které pravděpodobně využily nedávné chyby zabezpečení Microsoft Exchange k instalaci malwaru na e-mailové servery obětí.

V některých případech se několik skupin zaměřovalo na stejnou oběť - mezi nejznámějšími můžeme jmenovat například skupinu Winnti nebo Mikroceen.

Článek ESET software spol. s r. o. ze dne pátek 12. března 2021

Další články od ESET software spol. s r. o.