COM PLUS SECURITY
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
COM PLUS SECURITYStaráme se o bezpečnost Vašich dat
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
Microsoft Exchange Cyber Attack – Co o útoku víme?
  • Nezařazené

Společnost Microsoft v pátek varovala před aktivními útoky využívajícími 4 bezpečnostní nedostatky na serveru Exchange Server, které objevila a na které již vydala záplaty (2. března 2021), protože se předpokládá, že hackerská kampaň již v únoru infikovala desítky tisíc podniků, vládních subjektů v USA, Asii a Evropě.

Společnost uvedla, že nadále zaznamenává zvýšené používání těchto zranitelností při útocích ovšem i mimo skupinu HAFNIUM.

Podle nezávislého novináře v oblasti kybernetické bezpečnosti Briana Krebse bylo nejméně 30 000 subjektů v USA – zejména malých podniků, měst a místních samospráv  napadeno „neobvykle agresivní“ čínskou skupinou, která se zaměřila na krádeže e-mailů od organizací obětí využitím dříve nezveřejněných nedostatků na serveru Exchange Server.

Oběti jsou hlášeny také ze zemí mimo USA, přičemž e-mailové systémy patří podnikům v Norsku a České republice, byly zasaženy řadou hackerských incidentů zneužívajících tyto chyby zabezpečení.

Kolosální rozsah probíhajícího hackerského útoku na e-mailové servery společnosti Microsoft zatemňuje nedávný hackerský případ SolarWinds, který vyšel najevo loni v prosinci a který se údajně zaměřil na 18 000 zákazníků poskytovatele nástrojů pro správu IT. Útočníci pravděpodobně šli pouze po cílech vysoké hodnoty na základě počátečního průzkumu obětí.

Úspěšné využití nedostatků umožňuje protivníkům proniknout do serverů Microsoft Exchange v cílových prostředích a následně umožnit instalaci neoprávněných webových zadních vrátek, aby se usnadnil dlouhodobý přístup. Vzhledem k tomu, že tyto zranitelnosti zero-day využívá více útočníků, se očekává, že se aktivity u jednotlivých skupin budou lišit na základě jejich motivů.

Společnost Microsoft opravila čtyři dotyčné bezpečnostní problémy v rámci mimořádné bezpečnostní aktualizace mimo plán a varovala, že mnoho hackerských a zločineckých skupin bude rychle využívat výhod všech zranitelností.

Americká agentura Cybersecurity and Infrastructure Security Agency (CISA), která vydala varovnou nouzovou směrnici upozorňující na „aktivní zneužití“ zranitelných míst, vyzvala vládní agentury provozující zranitelné verze Exchange Serveru, aby buď aktualizovaly software, nebo odpojily produkty od svých sítí.

„CISA si je vědoma rozšířeného domácího i mezinárodního zneužívání zranitelností serveru Microsoft Exchange Server a naléhavě žádá skenování protokolů Exchange Serveru pomocí detekčního nástroje IoC společnosti Microsoft.

Pouhá instalace oprav vydaných společností Microsoft by neměla žádný vliv na servery, které již byly napadeny. Organizace, které byly napadeny, zůstávají vystaveny riziku budoucího útoku, dokud neobnoví zálohy před datem napadení a nezáplatují.

Tým FireEye uvedl, že od začátku roku pozoroval více případů zneužití serveru Microsoft Exchange Server alespoň v jednom klientském prostředí . Společnost Volexity pro kybernetickou bezpečnost, jedna ze společností, které se objevily nedostatky, uvedla, že se zdálo, že hackerské akce začaly kolem 6. ledna 2021.

O totožnosti útočníků se toho příliš neví, až na to, že společnost Microsoft přisuzovala útoky skupině, které se říká Hafnium, což je velmi zkušená čínská skupina, podporovaná vládou působící mimo Čínu.

Čína oficiálně popírá, že by stála za útoky.

Bylo identifikováno nejméně 5 druhů útoků, je možné, že skupina Hafnia sdílela nebo prodávala kód zneužití, což vedlo k tomu, že ostatní skupiny mohly tyto chyby zabezpečení také zneužít.

Kromě aktualizací společnost Microsoft vydala nové alternativní pokyny, které pomohou zákazníkům Exchange, kteří potřebují více času na opravu, instalací nové aktualizace nástroje Microsoft Safety Scanner (MSERT) pro detekci webových skořápek a vydala skript pro kontrolu HAFNIUM indikátorů napadení.

Tyto chyby zabezpečení jsou významné a je třeba je brát vážně. Umožňují útočníkům vzdáleně spouštět příkazy na těchto serverech bez nutnosti přihlašovacích údajů a každý útočník by je mohl potenciálně zneužít. Široká instalace serveru Exchange a jeho vystavení internetu znamená, že mnoho organizací provozujících místní server Exchange může být ohroženo.

Comments are closed.

Nejnovější příspěvky
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
admin 8. 3. 2021
No Comment
Útok hackerů na státní správu byl sofistikovaný a složitý řekl Vladimír Rohel ze státní IT agentury
Malware může využít nové chyby v procesorech Intel a zahájit útoky bočními kanály
COM PLUS CZ a.s.

Outsourcing ICT, kybernetická bezpečnost, penetrační testy, analýza rizik, školení kybernetické bezpečnosti, správa IT, dohledové systémy, telekomunikační řešení, helpdesk, vývoj software, servis.

Naše služby
  • Kurzy a školení
  • Bezpečnostní dohled
  • Analýza rizik
  • Penetrační testy
Aktuality
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
Kontaktní údaje

COM PLUS CZ a.s.

Nad Krocínkou 317/48
Praha 9, 190 00

IČ: 25772104
DIČ: CZ25772104

bezpecneict@complus.cz

+420 225 103 222

COM PLUS CZ a.s. 2020
Tyto webové stránky využívají cookies k analýze návštěvnosti. Více informací zde. SOUHLASÍM
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vždy povoleno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
ULOŽIT A PŘIJMOUT