Błąd Microsoft Exchange mógł doprowadzić do zhakowania ponad 30,000 XNUMX amerykańskich organizacji

Połączenia ciche wydanie łatki poza pasmem na lukę w serwerze Microsoft Exchange szybko staje się ważną historią, z wiarygodnymi doniesieniami o co najmniej 30,000 XNUMX organizacji w USA i prawdopodobnie setkach tysięcy na całym świecie, które zostały zhakowane przez chińską grupę hakerów, która teraz ma pełną kontrolę nad serwerami i danymi na nich .

Krebs o raportach bezpieczeństwa że znaczna liczba małych firm, miasteczek, miast i samorządów została zainfekowana, a hakerzy pozostawili powłokę internetową umożliwiającą dalsze dowodzenie i kontrolę.

Microsoft powiedział, że pierwotne ataki były wymierzone w szereg sektorów przemysłu, w tym badaczy chorób zakaźnych, kancelarie prawne, instytucje szkolnictwa wyższego, wykonawców obrony, think tanki polityczne i organizacje pozarządowe, ale Krebs zauważa, że ​​nastąpiła dramatyczna i agresywna eskalacja wskaźnik infekcji, ponieważ hakerzy próbują wyprzedzić łatkę wydaną przez Microsoft.

„Pracowaliśmy nad dziesiątkami przypadków, w których powłoki internetowe zostały umieszczone w systemie ofiar 28 lutego [zanim Microsoft ogłosił swoje poprawki], aż do dzisiaj” — powiedział prezes Volexity Steven Adair, który odkrył atak . „Nawet jeśli załatałeś tego samego dnia, w którym Microsoft opublikował swoje poprawki, nadal istnieje duże prawdopodobieństwo, że na twoim serwerze znajduje się powłoka internetowa. Prawda jest taka, że ​​jeśli korzystasz z programu Exchange i jeszcze tego nie załatałeś, istnieje bardzo duża szansa, że ​​Twoja organizacja jest już zagrożona”.

Na Github dostępne jest narzędzie do identyfikowania zainfekowanych serwerów przez Internet, a lista jest niepokojąca.

„To wydziały policji, szpitale, mnóstwo władz miejskich i stanowych oraz kasy kredytowe” – powiedział jeden ze źródeł, który ściśle współpracuje z urzędnikami federalnymi w tej sprawie. „Prawie każdy, kto korzysta z samoobsługowego programu Outlook Web Access i nie został załatany kilka dni temu, został dotknięty atakiem typu zero-day”.

Dotychczasowy rozmiar ataku budzi obawy co do fazy naprawczej.

„Podczas rozmowy wiele pytań pochodziło z okręgów szkolnych lub samorządów lokalnych, które potrzebują pomocy”, powiedział źródło, pod warunkiem, że nie zostaną zidentyfikowani z imienia i nazwiska. „Jeśli te liczby są w dziesiątkach tysięcy, w jaki sposób odbywa się reakcja na incydent? Po prostu nie ma wystarczającej liczby zespołów reagowania na incydenty, aby zrobić to szybko”.

„Najlepszą ochroną jest jak najszybsze zastosowanie aktualizacji we wszystkich systemach, których dotyczy problem”, powiedział rzecznik Microsoftu w pisemnym oświadczeniu. „Nadal pomagamy klientom, zapewniając dodatkowe wskazówki dotyczące dochodzeń i łagodzenia skutków. Klienci, których to dotyczy, powinni skontaktować się z naszymi zespołami pomocy technicznej, aby uzyskać dodatkową pomoc i zasoby”.

Niektórzy wskazywali palcem na Microsoft za umożliwienie ataków, zwłaszcza że ich produkty w chmurze nie zostały naruszone.

„To pytanie, które warto zadać, jaka będzie rekomendacja Microsoftu?” – powiedział rządowy ekspert ds. cyberbezpieczeństwa. „Powiedzą „Patch, ale lepiej iść do chmury”. Ale jak zabezpieczają swoje produkty niezwiązane z chmurą? Pozwalam im uschnąć na winorośli.