Cégek százezreit érinthetik az Exchange Server elleni támadások

A Microsoft múlt héten négy biztonsági rést is befoltozott Exchange Server termékeiben, arra figyelmeztetve, hogy aktívan kihasznált sebezhetőségekről van szó - azóta a támadások kiterjedtségéről is részletesebb információk láttak napvilágot, és mint kiderült, legalább 30 ezer egyesült államokbeli szervezetet rendszereibe jutottak be az illetéktelen behatolók, világszerte pedig az érintettek száma több százezerre rúghat.

Az ügyről több biztonsági cég, köztük a KrebsOnSecurity is beszámolt, a kutatók forrásai szerint kínai állami hátterű hackerek állnak a támadások mögött. A kínai Hafnium hackercsoport neve már korábban is felmerült az akció kapcsán, amelyben főként a támadott cégek levelezéseit igyekeztek megszerezni az Exchange Server 2013, 2016 és 2019 kiadásaiban található sérülékenységeken keresztül.

GYORSULÓ OFFENZÍVA

A támadások a sebezhetőségeket célzó javítások megjelenésével nem zárultak le, sőt, az elkövetők az elmúlt napokban drámaian rákapcsoltak a világszerte dolgozó, sérülékeny szerverek megfertőzésére, hogy még a frissítések telepítése előtt elhelyezhessék azokon saját backdoorjaikat.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A kutatók szerint a hackerek valamennyi támadásnál hátrahagynak egy web shellt az adott szerveren, amelyen keresztül később bármikor, adminisztrátori jogosultságokkal férhetnek a rendszerhez. Ezt pedig már jókora számban meg is tették: a KrebsOnSecuritynek nevük elhallgatását kérő, az Egyesült Államok nemzetbiztonsági tanácsadóival együtt dolgozó biztonsági szakértők arról beszéltek, a támadásoknak áldozatul esett Microsoft Exchange szerverek száma világszerte "több százezerre" tehető - és az érintett szervezetek száma is hasonlóan alakulhat. Mint a Microsoft múlt héten közölte, a legalább január 6-ig visszanyúló támadások célpontjában főként egyesült államokbeli cégek, oktatási és állami szervek, illetve civil szervezetek állnak.

Az érintett vállalatok, szervezetek száma pedig továbbra is folyamatosan növekszik, a Volexity biztonsági cég elnöke Steven Adair szerint az elmúlt napokban ugrásszerűen megnőtt a négy Exchange sebezhetőségre építő támadások száma. Ahogy fogalmaz, még akkor is jó esély van a fertőzésre, ha egy cég a patch-ek megjelenését követően azonnal telepítette azokat - ahol pedig még nem települt a frissítés, "nagyon magas a kockázata" hogy a támadók már elhelyezték backdoorjukat a rendszeren.

BACKDOOR, BACKDOOR HÁTÁN?

A problémát tetézi, hogy a támadók által telepített hozzáférési pontok a patch-ek telepítését követően is elérhetők maradnak - és még ha azokat sikerül is kigyomlálni, nincs rá garancia, hogy idő közben a hackerek nem hagytak további backdoorokat a szerveren. A KrebsOnSecurity információi szerint az említett web shellt a kutatók már több ezer egyesült államokbeli szervezet rendszerein felfedezték, beleértve bankokat, hitelszövetkezeteket és telekommunikációs szolgáltatókat is.

A Microsoft jelenleg is együtt dolgozik az egyesült államokbeli CISA (Cybersecurity & Infrastructure Security Agency) kiberbiztonsági ügynökséggel, illetve több más állami hatósággal és biztonsági céggel a támadások elhárításán, az érintett cégeket pedig a frissítések haladéktalan telepítésén túl arra biztatja, vegyék fel a kapcsolatot dedikált támogatási csapataival. Ezzel párhuzamosan a CISA minden civil szövetségi hivatalt és ügynökséget frissítésre, annak hiányában pedig az Exchange szerverek leválasztására utasított hálózataikról.