Microsoft Exchange-fout heeft ertoe geleid dat meer dan 30,000 Amerikaanse organisaties zijn gehackt

De stille release van een out-of-band patch voor een fout in de Exchange-server van Microsoft verandert snel in een groot verhaal, met geloofwaardige rapporten van minstens 30,000 organisaties in de VS, en mogelijk honderdduizenden over de hele wereld, gehackt door een Chinese hackergroep, die nu de volledige controle heeft over de servers en de gegevens erop .

Krebs over beveiligingsrapporten dat een aanzienlijk aantal kleine bedrijven, steden en lokale overheden is geïnfecteerd, waarbij de hackers een webshell hebben achtergelaten voor verdere controle en controle.

Microsoft zei dat de oorspronkelijke aanvallen waren gericht op een reeks industriële sectoren, waaronder onderzoekers van infectieziekten, advocatenkantoren, instellingen voor hoger onderwijs, defensie-aannemers, beleidsdenktanks en ngo's, maar Krebs merkt op dat er een dramatische en agressieve escalatie is geweest van de infectiepercentage, terwijl de hackers proberen de patch die Microsoft heeft uitgebracht voor te blijven.

"We hebben tot nu toe aan tientallen gevallen gewerkt waarin webshells op het slachtoffersysteem werden geplaatst op 28 februari [voordat Microsoft zijn patches aankondigde], helemaal tot vandaag", zegt Volexity-president Steven Adair, die de aanval. “Zelfs als je dezelfde dag een patch hebt gepatcht dat Microsoft zijn patches heeft gepubliceerd, is er nog steeds een grote kans dat er een webshell op je server staat. De waarheid is dat als je Exchange gebruikt en je dit nog niet hebt gepatcht, de kans zeer groot is dat je organisatie al is gecompromitteerd."

Er is een tool beschikbaar op Github om geïnfecteerde servers via internet te identificeren, en de lijst is zorgwekkend.

"Het zijn politiediensten, ziekenhuizen, tonnen stads- en deelstaatregeringen en kredietverenigingen", zei een bron die nauw samenwerkt met federale functionarissen op dit gebied. "Zowat iedereen die zelf-gehoste Outlook Web Access gebruikt en een paar dagen geleden nog geen patch kreeg, werd getroffen door een zero-day-aanval."

De omvang van de aanval tot dusver roept zorgen op over de saneringsfase.

"Tijdens de oproep kwamen veel vragen van schooldistricten of lokale overheden die allemaal hulp nodig hebben", zei de bron, op voorwaarde dat ze niet bij naam werden genoemd. “Als deze aantallen in de tienduizenden lopen, hoe wordt dan gereageerd op incidenten? Er zijn gewoon niet genoeg incidentresponsteams om dat snel te doen.”

"De beste bescherming is om updates zo snel mogelijk toe te passen op alle getroffen systemen", zei een Microsoft-woordvoerder in een schriftelijke verklaring. “We blijven klanten helpen door aanvullende richtlijnen voor onderzoek en risicobeperking te geven. Getroffen klanten moeten contact opnemen met onze ondersteuningsteams voor aanvullende hulp en middelen.”

Sommigen hebben met de vinger gewezen naar Microsoft voor het toestaan ​​van de aanvallen, vooral omdat hun cloudproducten niet zijn getroffen.

"Het is een vraag die de moeite waard is om te stellen, wat is de aanbeveling van Microsoft?", zei de cyberbeveiligingsexpert van de overheid. "Ze zullen zeggen 'Patch, maar het is beter om naar de cloud te gaan.' Maar hoe beveiligen ze hun niet-cloudproducten? Ze laten verwelken aan de wijnstok.”