Szerző: Hlács Ferenc

2021. március 11. 12:24

Már tíz hackercsoport állt rá az Exchange Server biztonsági réseire

Tömegével igyekeznek hozzáférést szerezni a támadók a sebezhető szerverekhez.

Legalább tíz hackercsoport támadja aktívan a Microsoft Exchange Server sebezhetőségeit, amelyekre a vállalat múlt héten adott ki javításokat. Sok vállalat azonban továbbra sem telepítette a patch-eket - azok rendszereihez pedig a támadók pánikszerűen igyekeznek hozzáférést szerezni.

Mint az ESET szakértői beszámoltak róla, a cég már több mint ötezer egyedi email szervert azonosított, több mint 115 országban, amelyet a tűz alá vettek a hackerek az Exchange Server sérülékenységein keresztül. A szerverek üzemeltetői között pedig cégek és kormányzati szervezetek egyaránt ott vannak. Az offenzíva jóval túlmutat a kínai hátterű Hafnium hackercsoporton, amelynek a Microsoft eleinte a támadásokat tulajdonította.

breachill

A kutatók szerint a patch-ek megjelenését követő naptól támadók tömegesen kezdtek sebezhető Exchange szerverek után kutatni, illetve azokhoz hozzáférést szerezni. Az újonnan felfedezett csoportok szinte mindegyike valamilyen hírszerzési szervezethez köthető, egy kivétellel, amely jó eséllyel egy kriptobányász kampány része. Ahogy a Matthieu Faou, az ESET az Exchange sebezhetőségekhez kapcsolódó kutatásának vezetője elmondta, elkerülhetetlen, hogy a biztonsági réseket előbb vagy utóbb még több támadó használja majd ki - a cég szerint egyébként már a javítások megjelenése előtt is több csoport igyekezett kiaknázni a sebezhetőségeket. A támadók, ahogy azt korábbi vizsgálatok is megállapították, web shelleket, illetve backdoorokat helyeznek el a szervereken, a későbbi (akár a javítás telepítését követő) hozzáférés céljából.

Promptolsz-e már padawan?

Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

Promptolsz-e már padawan? Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

Az ESET a Tick, LuckyMouse, Calypso, Websiic, Winnti Group, Tonto Team, Mikroceen és a The "Opera" Cobalt Strike támadócsoportokat, valamint a DLTMiner bányászkampányt azonosította, de az IIS és ShadowPad backdoorokat használó hackereket is észlelt. A cég csak a The "Opera" Cobalt Strike kapcsán mintegy 650 megtámadott szerverről beszél, főként az Egyesült Államokban, az Egyesült Királyságban, Németországban és néhány további, európai országban - alig néhány órával a javítások megjelenését követően.

Az Exchange szervereket futtató szervezetek tehát ha még nem tették, késlekedés nélkül telepítsék a Microsoft patche-eit - hiszen már bőven az utolsó utáni pillanatban járnak. Fau mindenkit a frissítésre sürget, még abban az esetben is, ha a szerverek nem rendelkeznek közvetlen online eléréssel.

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.

a címlapról

MÁLNÁS

6

Tőzsdére megy a Raspberry Pi

2024. május 16. 14:00

Az elmúlt évek meghatározó áramköri lapkáit készítő technológiai cég papírjaival is lehet majd kereskedni a brit tőzsdén.