Microsoft uvedl, že kyberzločinci mohou být napojeni na čínskou vládu a využívají dříve neznámé exploity k proniknutí do Exchange Serveru, který využívá řada firem i vládních institucí. Hackerská skupina Hafnium je zatím jediná, která tyto zranitelnosti umí zneužít, ale to se může velmi rychle změnit.
Microsoft vyzval všechny organizace, které používají e-mailové servery Exchange, aby okamžitě nainstalovaly nejnovější opravy. Zranitelnosti v jedné z nejpopulárnějších služeb společnosti Microsoft zneužila velmi sofistikovaná kyberzločinecká skupina. Je nutné upozornit, že tento útok se týká všech organizací používajících Outlook, ale není zaměřen na jednotlivce a koncové uživatele. Jedná se o problém na úrovni serverů.
Jak například upozorňuje bezpečnostní Check Point, 83 % všech útoků začínalo v uplynulém roce škodlivým e-mailem a řada nejvýznamnějších kybernetických útoků využívala osvědčený scénář: V nějaké populární platformě jsou objevené zranitelnosti, sice je vydána odpovídající záplata, ale není instalována automaticky a v mezidobí stačí situace zneužít kyberzločinci.
Microsoft zatím neidentifikoval možné cíle. Skupina Hafnium každopádně působí vně Číny a zaměřuje se především na krádeže dat výzkumných a vzdělávacích institucí, právnických firem, zbrojních společností a také nevládních amerických organizací. Microsoft si není vědom, že by exploity ovlivnily i jiné produkty společnosti Microsoft.
Ke kybernetickým útokům už došlo i u nás a to na Magistrát hlavního města Prahy a Ministerstvo práce a sociálních věcí ČR. V této souvislosti zaslala svoje vyjádření i bezpečnostní firma ESET. „Tyto aktuální pokusy o kyberútok na zmiňované organizace, naštěstí neúspěšné, dokonale ilustrují důležitost rychlé reakce na objevení tzv. zero-day zranitelností. Tímto termínem označujeme zranitelnost v nějakém systému či zařízení, která vznikla chybou ve vývoji, ale nebyla veřejně známá a útočník, pokud ji objeví, může takovou skulinou do systému či sítě nějaké organizace proniknout. Proto jsou tyto typy zranitelností pro jednotlivce i organizaci nejrizikovější. Tato zranitelnost byla zveřejněna 2. března letošního roku a útok s jejím využitím útočníci přišli poměrně rychle.“
„Prevence zneužití zero-day zranitelností je ze své podstaty komplikovaná, ale realizovatelná. Kromě neprodlené instalace dostupných aktualizací či záplat řešících tuto zranitelnost, tedy dodržování pravidel tzv. patch managementu, zároveň důrazně doporučujeme nasazení dalších vrstev ochrany na úrovní síťové komunikace. Jen v České republice vidíme bezmála 3 000 Microsoft Exchange serverů, které jsou otevřené do internetu a kterým hrozí riziko zneužití této zranitelnosti.“
Konkrétní skripty použité v případě těchto útocích jsou společností ESET detekovány jako ASPReGeorg.A a ASPSecChecker.A. K některým zranitelnostem již existuje tzv. proof of concept, tedy zdrojový kód, který pro útočníky představuje návod, jak zranitelnosti zneužít pro útok, proto lze očekávat další pokusy o průniky do systémů využívající tuto metodu.
Na nebezpečí upozorňuje i společnost Kaspersky „V posledních dnech detekujeme zvýšený počet útoků přes Remote Code Execution (RCE). Útočníci zneužívají zranitelnosti Microsoft Exchange Serveru a získávají tak přístup ke všem registrovaným e-mailovým účtům, případně mohou tímto způsobem vzdáleně spustit jakýkoli škodlivý kód. Velmi pravděpodobně jde pouze o začátek masivnější škodlivé kampaně, očekáváme častější pokusy o průnik do interních systémů a krádeže citlivých dat či šíření vyděračského ransomware. Důrazně proto doporučujeme co nejdříve aktualizovat Microsoft Exchange Server a monitorovat odchozí provoz, aby bylo možné včas zachytit aktivity útočníků a zamezit jim. Pravidelně také zálohujte data,“ říká Michal Lukáš, Head of Presales ve společnosti Kaspersky pro region střední a východní Evropy.
Zranitelnosti opravují aktualizace vydané Microsoftem 2. března pro jednotlivé verze:
- Server 2010 Service Pack 3 (Defense in Depth update)
- Server 2013 Cumulative Update 23
- Server 2016 Cumulative Update 18
- Server 2019 Cumulative Update 7
Podrobnosti najdete také na webu Národního úřadu pro kybernetickou bezpečnost.
