Na aktuální zranitelnost poštovních serverů se zaměřily hackerské skupiny

Na začátku března varovaly autority před zranitelností poštovních serverů Microsoft Exchange. Analytici společnosti ESET nyní zjistili, že více než deset hackerských skupin zneužívá tyto zranitelnosti ke kompromitaci serverů. ESET odhalil po celém světě přes 5 000 napadených e-mailových serverů, patřily firmám i vládním organizacím. Potenciálně zranitelných serverů je ale mnohem víc.

Na začátku března vydal Microsoft pro poštovní servery Exchange Server 2013, 2016 a 2019 bezpečnostní záplaty opravující tyto zranitelnosti typu pre-autentizačního vzdáleného spuštění kódu (RCE). Tato technika umožňuje útočníkovi převzít kontrolu nad jakýmkoliv zranitelným serverem Exchange publikovaným své OWA rozhraní do internetu, aniž by bylo nutné znát platné přihlašovací údaje.
"Den po vydání opravy, jsme zaznamenali, jak řada útočníků skenuje a kompromituje zranitelné servery Exchange. Zajímavostí je, že kromě známých e-špionážních APT skupin prováděla tuto činnost i jedna, která se zaměřuje primárně na aktivity spojené s těžbou kryptoměn. Nicméně je jisté, že se k těmto zranitelným serverům budou chtít rychle dostat i další kyberzločinci, včetně tvůrců ransomware," popisuje Miroslav Dvořák. "Jen v České republice vidíme téměř 3 000 Microsoft Exchange serverů, které jsou otevřené do internetu, a kterým tak hrozilo bez aplikace bezpečnostních záplat bezprostřední riziko zneužití této zranitelnosti," dodává.

Podle dat je zřejmé, že útočníci zkoumali zranitelnost už před vydáním bezpečnostních oprav, lze tak vyloučit, že by se útočníci pokoušeli servery prolomit reverzní analýzou samotné opravy.

Kompromitované servery jsou po celém světě, včetně Česka
Analytici objevili škodlivé programy, které umožní na dálku ovládat server, na více než 5 000 serverech v minimálně 115 zemích.

Podíl kompromitovaných serverů v jednotlivých zemích (28. 2. 2021- 9. 3. 2021)

ESET identifikoval více než deset různých útočných skupin, které pravděpodobně využily nedávné chyby zabezpečení Microsoft Exchange k instalaci malwaru na e-mailové servery obětí. V některých případech se několik skupin zaměřovalo na stejnou oběť. Mezi nejznámějšími můžeme jmenovat například skupinu Winnti nebo Mikroceen.
"Je zásadní, aby firmy nainstalovaly na své servery příslušné aktualizace co nejdříve. Aktualizaci by měly mít i ty servery, které do internetu vystavené přímo nejsou. Pokud už ke kompromitaci došlo, měli by administrátoři malware odstranit, změnit přístupové údaje a prověřit, zda na serveru nedošlo k dalším aktivitám útočníků. Incidenty jako tento jsou dobrou připomínkou, že komplexní aplikace, jako je Microsoft Exchange nebo SharePoint, by neměly být, pokud existuje jiná alternativa, vystaveny přímo do internetu," radí Dvořák.