Společnost Microsoft v pátek varovala před aktivními útoky využívajícími 4 bezpečnostní nedostatky na serveru Exchange Server, které objevila a na které již vydala záplaty (2. března 2021), protože se předpokládá, že hackerská kampaň již v únoru infikovala desítky tisíc podniků, vládních subjektů v USA, Asii a Evropě.

Společnost uvedla, že nadále zaznamenává zvýšené používání těchto zranitelností při útocích ovšem i mimo skupinu HAFNIUM.

Podle nezávislého novináře v oblasti kybernetické bezpečnosti Briana Krebse bylo nejméně 30 000 subjektů v USA – zejména malých podniků, měst a místních samospráv  napadeno „neobvykle agresivní“ čínskou skupinou, která se zaměřila na krádeže e-mailů od organizací obětí využitím dříve nezveřejněných nedostatků na serveru Exchange Server.

Oběti jsou hlášeny také ze zemí mimo USA, přičemž e-mailové systémy patří podnikům v Norsku a České republice, byly zasaženy řadou hackerských incidentů zneužívajících tyto chyby zabezpečení.

Kolosální rozsah probíhajícího hackerského útoku na e-mailové servery společnosti Microsoft zatemňuje nedávný hackerský případ SolarWinds, který vyšel najevo loni v prosinci a který se údajně zaměřil na 18 000 zákazníků poskytovatele nástrojů pro správu IT. Útočníci pravděpodobně šli pouze po cílech vysoké hodnoty na základě počátečního průzkumu obětí.

Úspěšné využití nedostatků umožňuje protivníkům proniknout do serverů Microsoft Exchange v cílových prostředích a následně umožnit instalaci neoprávněných webových zadních vrátek, aby se usnadnil dlouhodobý přístup. Vzhledem k tomu, že tyto zranitelnosti zero-day využívá více útočníků, se očekává, že se aktivity u jednotlivých skupin budou lišit na základě jejich motivů.

Společnost Microsoft opravila čtyři dotyčné bezpečnostní problémy v rámci mimořádné bezpečnostní aktualizace mimo plán a varovala, že mnoho hackerských a zločineckých skupin bude rychle využívat výhod všech zranitelností.

Americká agentura Cybersecurity and Infrastructure Security Agency (CISA), která vydala varovnou nouzovou směrnici upozorňující na „aktivní zneužití“ zranitelných míst, vyzvala vládní agentury provozující zranitelné verze Exchange Serveru, aby buď aktualizovaly software, nebo odpojily produkty od svých sítí.

„CISA si je vědoma rozšířeného domácího i mezinárodního zneužívání zranitelností serveru Microsoft Exchange Server a naléhavě žádá skenování protokolů Exchange Serveru pomocí detekčního nástroje IoC společnosti Microsoft.

Pouhá instalace oprav vydaných společností Microsoft by neměla žádný vliv na servery, které již byly napadeny. Organizace, které byly napadeny, zůstávají vystaveny riziku budoucího útoku, dokud neobnoví zálohy před datem napadení a nezáplatují.

Tým FireEye uvedl, že od začátku roku pozoroval více případů zneužití serveru Microsoft Exchange Server alespoň v jednom klientském prostředí . Společnost Volexity pro kybernetickou bezpečnost, jedna ze společností, které se objevily nedostatky, uvedla, že se zdálo, že hackerské akce začaly kolem 6. ledna 2021.

O totožnosti útočníků se toho příliš neví, až na to, že společnost Microsoft přisuzovala útoky skupině, které se říká Hafnium, což je velmi zkušená čínská skupina, podporovaná vládou působící mimo Čínu.

Čína oficiálně popírá, že by stála za útoky.

Bylo identifikováno nejméně 5 druhů útoků, je možné, že skupina Hafnia sdílela nebo prodávala kód zneužití, což vedlo k tomu, že ostatní skupiny mohly tyto chyby zabezpečení také zneužít.

Kromě aktualizací společnost Microsoft vydala nové alternativní pokyny, které pomohou zákazníkům Exchange, kteří potřebují více času na opravu, instalací nové aktualizace nástroje Microsoft Safety Scanner (MSERT) pro detekci webových skořápek a vydala skript pro kontrolu HAFNIUM indikátorů napadení.

Tyto chyby zabezpečení jsou významné a je třeba je brát vážně. Umožňují útočníkům vzdáleně spouštět příkazy na těchto serverech bez nutnosti přihlašovacích údajů a každý útočník by je mohl potenciálně zneužít. Široká instalace serveru Exchange a jeho vystavení internetu znamená, že mnoho organizací provozujících místní server Exchange může být ohroženo.