Το ελάττωμα του Microsoft Exchange μπορεί να οδήγησε σε χακάρισμα 30,000+ αμερικανικών οργανισμών

Η αθόρυβη έκδοση μιας ενημερωμένης έκδοσης κώδικα εκτός ζώνης για ένα ελάττωμα στον διακομιστή Exchange της Microsoft μετατρέπεται γρήγορα σε μια μεγάλη ιστορία, με αξιόπιστες αναφορές για τουλάχιστον 30,000 οργανισμούς στις ΗΠΑ, και πιθανώς εκατοντάδες χιλιάδες σε όλο τον κόσμο, να παραβιάζονται από μια κινεζική ομάδα χάκερ, η οποία έχει πλέον τον πλήρη έλεγχο των διακομιστών και των δεδομένων σε αυτούς .

Αναφορές του Krebs για την ασφάλεια ότι ένας σημαντικός αριθμός μικρών επιχειρήσεων, κωμοπόλεων, πόλεων και τοπικών κυβερνήσεων έχουν μολυνθεί, με τους χάκερ να αφήνουν πίσω τους ένα κέλυφος ιστού για περαιτέρω διοίκηση και έλεγχο.

Η Microsoft είπε ότι οι αρχικές επιθέσεις είχαν στόχο διάφορους κλάδους, συμπεριλαμβανομένων ερευνητών μολυσματικών ασθενειών, δικηγορικά γραφεία, ιδρύματα τριτοβάθμιας εκπαίδευσης, αμυντικούς εργολάβους, δεξαμενές σκέψης πολιτικής και ΜΚΟ, αλλά ο Krebs σημειώνει ότι υπήρξε μια δραματική και επιθετική κλιμάκωση του ποσοστό μόλυνσης, καθώς οι χάκερ προσπαθούν να παραμείνουν μπροστά από την ενημέρωση κώδικα που κυκλοφόρησε η Microsoft.

«Έχουμε δουλέψει σε δεκάδες περιπτώσεις μέχρι στιγμής όπου τα κελύφη Ιστού τοποθετήθηκαν στο σύστημα των θυμάτων στις 28 Φεβρουαρίου [πριν η Microsoft ανακοινώσει τις ενημερώσεις κώδικα], μέχρι σήμερα», δήλωσε ο πρόεδρος του Volexity, Στίβεν Άνταιρ, ο οποίος ανακάλυψε το επίθεση . «Ακόμα κι αν επιδιορθώσατε την ίδια ημέρα που η Microsoft δημοσίευσε τις ενημερώσεις κώδικα, εξακολουθεί να υπάρχει μεγάλη πιθανότητα να υπάρχει ένα κέλυφος ιστού στον διακομιστή σας. Η αλήθεια είναι ότι εάν εκτελείτε το Exchange και δεν το έχετε επιδιορθώσει ακόμα, υπάρχει πολύ μεγάλη πιθανότητα ο οργανισμός σας να έχει ήδη παραβιαστεί."

Ένα εργαλείο είναι διαθέσιμο στο Github για τον εντοπισμό μολυσμένων διακομιστών μέσω του Διαδικτύου και η λίστα είναι ανησυχητική.

«Είναι αστυνομικά τμήματα, νοσοκομεία, χιλιάδες κυβερνήσεις πόλεων και πολιτειών και πιστωτικές ενώσεις», είπε μια πηγή που συνεργάζεται στενά με ομοσπονδιακούς αξιωματούχους για το θέμα. "Σχεδόν όλοι όσοι χρησιμοποιούν το Outlook Web Access που φιλοξενούνται από τον εαυτό τους και δεν είχαν επιδιορθωθεί πριν από λίγες ημέρες, δέχθηκαν επίθεση zero-day."

Το μέγεθος της επίθεσης μέχρι στιγμής εγείρει ανησυχίες για τη φάση αποκατάστασης.

«Στην κλήση, πολλές ερωτήσεις ήταν από σχολικές περιφέρειες ή τοπικές κυβερνήσεις που χρειάζονται βοήθεια», είπε η πηγή, μιλώντας υπό τον όρο ότι δεν κατονομαζόταν. «Αν αυτοί οι αριθμοί είναι σε δεκάδες χιλιάδες, πώς γίνεται η ανταπόκριση σε περιστατικά; Απλώς δεν υπάρχουν αρκετές ομάδες αντιμετώπισης περιστατικών εκεί έξω για να το κάνουν αυτό γρήγορα».

"Η καλύτερη προστασία είναι η εφαρμογή ενημερώσεων το συντομότερο δυνατό σε όλα τα επηρεαζόμενα συστήματα", δήλωσε εκπρόσωπος της Microsoft σε γραπτή δήλωση. «Συνεχίζουμε να βοηθάμε τους πελάτες παρέχοντας πρόσθετη έρευνα και καθοδήγηση μετριασμού. Οι επηρεαζόμενοι πελάτες θα πρέπει να επικοινωνήσουν με τις ομάδες υποστήριξής μας για πρόσθετη βοήθεια και πόρους."

Κάποιοι έδειξαν το δάχτυλο στη Microsoft επειδή επέτρεψε να συμβούν επιθέσεις, ειδικά επειδή τα προϊόντα τους στο cloud δεν έχουν επηρεαστεί.

"Είναι μια ερώτηση που αξίζει να τεθεί, ποια θα είναι η σύσταση της Microsoft;", είπε ο κυβερνητικός ειδικός στον τομέα της κυβερνοασφάλειας. «Θα πουν «Εμπάλωμα, αλλά είναι καλύτερα να πας στο σύννεφο». Πώς όμως εξασφαλίζουν τα προϊόντα τους που δεν είναι cloud; Αφήστε τα να μαραθούν στο κλήμα».