2021-03-14 00:55
Hakerzy wykorzystali luki w Microsoft Exchange © Ralf Geithe - Fotolia.com
Przeczytaj także: Luki w Microsoft Exchange zagrażają polskim firmom
Z początkiem marca firma Microsoft udostępniła łatki dla Exchange Server 2013, 2016 i 2019, które naprawiają szereg luk w zabezpieczeniach i chronią przed zdalnym wykonaniem kodu (RCE). Dla cyberprzestępców, luki te stanowią furtkę do swobodnego przejęcia podatnej wersji serwera Exchange i to bez konieczności znajomości jakichkolwiek istotnych danych logowania do konta. Okazało się, że serwery połączone z Internetem stanowią łatwy cel dla grup hakerskich, a ogromna liczba użytkowników Microsoft Exchange może oznaczać ryzyko nadużyć na ogromną skalę.Co ciekawe, prawie wszystkie ataki zostały przeprowadzone przez grupy typu APT, które zajmują się głównie szpiegowaniem. Wyjątek stanowiła jedna grupa, która związana jest ze znaną kampanią wydobywania kryptowalut. Z pewnością przypadków wykorzystania luk z czasem będzie więcej i należy się spodziewać wzmożonej aktywności operatorów oprogramowania ransomware – mówi Matthieu Faou, który kieruje pracami badawczymi firmy ESET w zakresie ostatniego łańcucha luk w zabezpieczeniach Exchange. – Należy podkreślić, że wiele grup APT wykorzystywało luki w zabezpieczeniach na długo przed wydaniem łatek, co oznacza, że nie stworzyły exploita bazując na inżynierii wstecznej aktualizacji Microsoft – dodaje Faou.
Zgodnie z obserwacjami specjalistów, wzmożoną aktywność odnotowano w szczególności w Stanach Zjednoczonych, Wielkiej Brytanii oraz Niemczech, niemniej jednak ataki zaobserwowano w wielu innych krajach.
fot. mat. prasowe
Detekcje ESET dla skryptów typu webshell w okolicy dodania ostatniej łatki Microsoft Exchange, godzi
Telemetria ESET zgłosiła obecność złośliwych programów lub skryptów, które umożliwiają zdalne sterowanie serwerem za pośrednictwem przeglądarki internetowej, na ponad 5000 serwerach rozmieszczonych w ponad 115 krajach.
fot. mat. prasowe
Odsetek rozpoznań webshell według kraju (2021-02-28 do 2021-03-09)
Wzmożoną aktywność odnotowano w szczególności w Stanach Zjednoczonych, Wielkiej Brytanii oraz Niemczech.
Luki powinny zostać zalatane przez administratorów jak tylko pojawiły się aktualizacje zabezpieczeń. Jeśli ktoś jeszcze tego nie zrobił, powinien czym prędzej zareagować. Nawet te serwery Exchange, które nie mają bezpośredniego połączenia z Internetem, powinny zostać uzupełnione o stosowne aktualizacje. W przypadku naruszenia bezpieczeństwa administratorzy powinni usunąć powłoki sieciowe, zmienić dane logowania i prześledzić ewentualną złośliwą aktywność. Ten incydent jest bardzo dobrym przypomnieniem, że złożone aplikacje, takie jak Microsoft Exchange czy SharePoint, nie powinny być dostępne z Internetu - radzi Matthieu Faou.
oprac. : eGospodarka.pl
Fintech na celowniku hakerów. Dlaczego tradycyjne metody ochrony nie działają?
Zagrożenia internetowe: cyberprzestępcy lubią Twoją firmę
Zaawansowane i ukierunkowane cyberataki 2013
Zagrożenia internetowe I kw. 2013
Zagrożenia internetowe I-VI 2012
Zagrożenia internetowe I kw. 2012
Ataki DDoS II poł. 2011
Szkodliwy program na rosyjskich portalach informacyjnych
Zagrożenia internetowe III kw. 2011
Influencer marketing - UOKiK chce nowych regulacji
Express Elixir w lipcu 2022 ze wzrostem o 82 proc. r/r
Bank Pocztowy udostępnia kartę biometryczną dla klientów indywidualnych
Ceny luksusowych nieruchomości na świecie rosną wolniej
S&P 500 przegrywa w bitwie z ważnym poziomem oporu
Elektromobilność: rejestracje pojazdów elektrycznych wzrosły o 44%
Odliczenie VAT z faktur kosztowych sprzed rejestracji jest zgodne z prawem