Microsoft Exchange-feil kan ha ført til at over 30,000 XNUMX amerikanske organisasjoner ble hacket

De stille utgivelse av en ut av bandet patch for en feil i Microsofts Exchange-server er raskt i ferd med å bli en stor historie, med troverdige rapporter om minst 30,000 XNUMX organisasjoner i USA, og muligens hundretusener rundt om i verden, som blir hacket av en kinesisk hackergruppe, som nå har full kontroll over serverne og dataene på dem .

Krebs on Security rapporterer at et betydelig antall små bedrifter, tettsteder, byer og lokale myndigheter har blitt infisert, med hackere som etterlater seg et nettskall for videre kommando og kontroll.

Microsoft sa at de opprinnelige angrepene var rettet mot en rekke industrisektorer, inkludert infeksjonssykdomsforskere, advokatfirmaer, høyere utdanningsinstitusjoner, forsvarsentreprenører, politiske tenketanker og frivillige organisasjoner, men Krebs bemerker at det har vært en dramatisk og aggressiv eskalering av infeksjonshastigheten, ettersom hackerne prøver å ligge i forkant av patchen Microsoft ga ut.

"Vi har jobbet med dusinvis av saker så langt der nettskjell ble satt på offersystemet tilbake den 28. februar [før Microsoft annonserte sine oppdateringer], helt frem til i dag," sa Volexity-president Steven Adair, som oppdaget angrep. "Selv om du lappet samme dag som Microsoft publiserte oppdateringene, er det fortsatt stor sjanse for at det er et web-shell på serveren din. Sannheten er at hvis du kjører Exchange og ikke har lappet dette ennå, er det en veldig stor sjanse for at organisasjonen din allerede er kompromittert."

Et verktøy er tilgjengelig på Github for å identifisere infiserte servere over internett, og listen er bekymringsfull.

"Det er politiavdelinger, sykehus, tonnevis av by- og delstatsmyndigheter og kredittforeninger," sa en kilde som jobber tett med føderale tjenestemenn om saken. "Omtrent alle som kjører selvdrevet Outlook Web Access og som ikke ble korrigert for noen dager siden, ble rammet av et null-dagers angrep."

Størrelsen på angrepet så langt gir bekymring for utbedringsfasen.

"På samtalen kom mange spørsmål fra skoledistrikter eller lokale myndigheter som alle trenger hjelp," sa kilden, og sa på betingelse av at de ikke ble identifisert med navn. "Hvis disse tallene er i titusenvis, hvordan gjøres hendelsesresponsen? Det er rett og slett ikke nok responsteam der ute til å gjøre det raskt.»

"Den beste beskyttelsen er å bruke oppdateringer så snart som mulig på tvers av alle berørte systemer," sa en talsperson for Microsoft i en skriftlig uttalelse. «Vi fortsetter å hjelpe kundene ved å gi ytterligere undersøkelser og veiledning for avbøtende tiltak. Berørte kunder bør kontakte støtteteamene våre for ytterligere hjelp og ressurser."

Noen har rettet en finger mot Microsoft for å tillate angrepene å skje, spesielt siden deres skyprodukter ikke har blitt påvirket.

«Det er et spørsmål som er verdt å stille, hva er Microsofts anbefaling?», sa regjeringens cybersikkerhetsekspert. «De vil si «Patch, men det er bedre å gå til skyen». Men hvordan sikrer de sine ikke-skyprodukter? La dem visne på vintreet.»