Kelemahan Microsoft Exchange mungkin menyebabkan 30,000+ organisasi AS diretas

Grafik rilis diam-diam dari patch out of band untuk cacat di server Exchange Microsoft dengan cepat berubah menjadi cerita besar, dengan laporan yang kredibel dari setidaknya 30,000 organisasi di AS, dan mungkin ratusan ribu di seluruh dunia, diretas oleh kelompok peretas Cina, yang sekarang memiliki kendali penuh atas server dan data di dalamnya. .

Krebs pada laporan Keamanan bahwa sejumlah besar usaha kecil, kota kecil, kota besar dan pemerintah daerah telah terinfeksi, dengan para peretas meninggalkan cangkang web untuk komando dan kontrol lebih lanjut.

Microsoft mengatakan serangan awal ditargetkan pada berbagai sektor industri, termasuk peneliti penyakit menular, firma hukum, lembaga pendidikan tinggi, kontraktor pertahanan, think tank kebijakan, dan LSM, tetapi Krebs mencatat bahwa telah terjadi eskalasi dramatis dan agresif dari serangan tersebut. tingkat infeksi, karena para peretas mencoba dan tetap berada di depan patch yang dirilis Microsoft.

“Kami telah menangani lusinan kasus sejauh ini di mana cangkang web diletakkan di sistem korban pada 28 Februari [sebelum Microsoft mengumumkan patchnya], hingga hari ini,” kata Presiden Volexity Steven Adair, yang menemukan menyerang . “Bahkan jika Anda menambal pada hari yang sama Microsoft menerbitkan tambalannya, masih ada kemungkinan besar ada web shell di server Anda. Yang benar adalah, jika Anda menjalankan Exchange dan Anda belum menambalnya, ada kemungkinan besar organisasi Anda telah disusupi.”

Sebuah alat tersedia di Github untuk mengidentifikasi server yang terinfeksi melalui internet, dan daftarnya mengkhawatirkan.

"Ini departemen kepolisian, rumah sakit, banyak pemerintah kota dan negara bagian dan serikat kredit," kata salah satu sumber yang bekerja sama dengan pejabat federal dalam masalah ini. “Hampir semua orang yang menjalankan Outlook Web Access yang dihosting sendiri dan tidak ditambal beberapa hari yang lalu terkena serangan zero-day.”

Ukuran serangan sejauh ini menimbulkan kekhawatiran tentang fase remediasi.

“Dalam panggilan itu, banyak pertanyaan dari distrik sekolah atau pemerintah daerah yang semuanya membutuhkan bantuan,” kata sumber tersebut, dengan syarat mereka tidak disebutkan namanya. “Jika angka ini mencapai puluhan ribu, bagaimana respon insiden bisa dilakukan? Tidak ada cukup tim respons insiden di luar sana untuk melakukannya dengan cepat.”

"Perlindungan terbaik adalah menerapkan pembaruan sesegera mungkin di semua sistem yang terkena dampak," kata juru bicara Microsoft dalam sebuah pernyataan tertulis. “Kami terus membantu pelanggan dengan memberikan panduan investigasi dan mitigasi tambahan. Pelanggan yang terkena dampak harus menghubungi tim dukungan kami untuk bantuan dan sumber daya tambahan.”

Beberapa telah menuding Microsoft karena membiarkan serangan terjadi, terutama karena produk cloud mereka tidak terpengaruh.

“Ini adalah pertanyaan yang layak untuk ditanyakan, seperti apa rekomendasi Microsoft?,” kata pakar keamanan siber pemerintah. “Mereka akan mengatakan 'Patch, tapi lebih baik pergi ke cloud.' Tapi bagaimana mereka mengamankan produk non-cloud mereka? Membiarkan mereka layu pada pokok anggur.”