Microsoft Exchange: luki systemu posłużyły do zhakowania 30 tysięcy organizacji

Ponad 30 tysięcy organizacji w USA, z czego wiele z nich to rządowe agencje, zostało zhakowanych. Do ataków posłużył popularny system obsługi poczty elektronicznej, Microsoft Exchange Server.

O gigantycznej skali przedsięwzięcia cyberprzestępców poinformował czołowy blog na temat bezpieczeństwa w sieci, KrebsOnSecurity.

Cztery luki bezpieczeństwa odnalezione w oprogramowaniu Microsoft Exchange Server pomogły hakerom w zyskaniu zdalnego dostępu do kont emailowych, a także zainstalowania złośliwego oprogramowania (tzw. malware). Ten ostatni proceder jest o tyle szkodliwy, że za pomocą rzeczonego malware'u atakujący mogą wejść na zainfekowane serwery w późniejszym czasie.

Udało się zidentyfikować sprawców. Za atakiem stała hakerska grupa Hafnium. Według specjalisty od cyberbezpieczeństwa Briana Krebsa cyberprzestępcy są prawdopodobnie na usługach rządu. Krebs jest również zdania, że usuwanie skutków włamania na tak ogromną skalę będzie bardzo czasochłonne.

Atak odkryła firma Volexity i jak się okazuje trwał on przynajmniej od 6 stycznia 2021 r., co jednocześnie zbiegło się z dniem szturmu wyznawców kultu QAnon na Kapitol w USA.

Microsoft wprowadził aktualizacje bezpieczeństwa 2 marca 2021 r., co oznacza, że atakujący mieli niemal dwa miesiące na przeprowadzenie złośliwych działań.

Według firmy Volexity, firmy używające infrastruktury Microsoft Exchange, które nie otrzymały aktualizacji są niezwykle zagrożone i istnieje duże ryzyko, że doszło tam do złamania zabezpieczeń.

Zagrożone są jednak jedynie własne, lokalne serwery, które używają Exchange Server 2013, 2016 i 2019. Organizacje posługujące się wersją Exchange Online są niezagrożone.

Atak ten został porównany do SolarWinds, ale jego skala jest znacznie większa. Microsoft jest jednak absolutnie pewien, że ta operacja oraz atak SolarWinds (gdzie na celowniku także były agencje rządowe) nie są ze sobą powiązane.