Во вторник Microsoft предупредила своих клиентов и смело призывает злоумышленников. По данным Microsoft, за атаками на Exchange стоят китайские хакеры. Компания утверждает, что американские компании стали жертвами уязвимостей в почтовом продукте.
Китайские злоумышленники используют Microsoft Exchange
Microsoft обратила внимание на четыре недавно обнаруженные уязвимости нулевого дня. Компания связала атаки на Exchange с патчами и списком индикаторов компрометации.
Исследователи компании назвали хакерскую группу «HAFNIUM». Они объяснили, что группа является «высококвалифицированным и опытным действующим лицом», специализирующимся на шпионаже посредством кражи данных. По словам исследователей, HAFNIUM, как известно, преследует несколько организаций в США, в том числе «исследователей инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонных подрядчиков, политические аналитические центры и НПО».
Атаки на Exchange привели к краже данных из учетных записей электронной почты. Хакеры получают доступ к серверу Exchange, используя нулевые дни. Они часто использовали веб-оболочку и удаленно взламывали серверы. Это позволяет им красть данные из связанной сети. Microsoft заявила, что эти атаки были запущены с частных серверов в США.
Том Берт, корпоративный вице-президент Microsoft по безопасности клиентов, призвал клиентов Exchange как можно скорее устранить недостатки безопасности. «Несмотря на то, что мы быстро поработали над развертыванием обновления для эксплойтов HAFNIUM, мы знаем, что многие субъекты национальных государств и преступные группировки быстро предпримут шаги, чтобы воспользоваться преимуществами любых неисправленных систем. Своевременное применение сегодняшних патчей — лучшая защита от этой атаки», — сказал он.
Исследователи двух отдельных фирм по обеспечению безопасности, Volexity и Dubex, довели информацию об атаках на Exchange до сведения Microsoft. Исследователи Volexity обнаружили доказательства атак 6 января.
В своем блоге исследователи заявили: «Благодаря анализу системной памяти компания Volexity установила, что злоумышленник использовал уязвимость нулевого дня подделки запросов на стороне сервера (SSRF) в Microsoft Exchange (CVE-2021-26855). Злоумышленник использовал уязвимость для кражи всего содержимого почтовых ящиков нескольких пользователей. Эту уязвимость можно использовать удаленно, она не требует какой-либо аутентификации, а также не требует каких-либо специальных знаний или доступа к целевой среде. Злоумышленнику достаточно знать сервер, на котором работает Exchange, и учетную запись, из которой он хочет извлечь электронную почту».
Не связано с «SolarWinds»
В последнее время Microsoft понимает это со всех сторон. Они также запутались в неразберихе с SolarWinds. Но, по словам компании, атака на Exchange не связана с Solar Winds.
Не сообщается, сколько предприятий пострадало от атак Exchange. Также считается, что ГАФНИЙ, возможно, действует не в одиночку и что в него могут быть вовлечены другие люди. Федеральные власти были проинформированы об атаках на биржу.
Ознакомьтесь с предупреждением Microsoft, выпущенным прошлой осенью о резком росте кибератак из-за пандемии.