Defectul Microsoft Exchange ar fi dus la piratarea a peste 30,000 de organizații din SUA

lansarea liniștită a unui patch out of band pentru o defecțiune a serverului Microsoft Exchange se transformă rapid într-o poveste majoră, cu rapoarte credibile ale a cel puțin 30,000 de organizații din SUA și, posibil, sute de mii în întreaga lume, fiind piratați de un grup de hackeri chinez, care deține acum controlul deplin asupra serverelor și a datelor de pe acestea. .

Krebs despre rapoartele de securitate că un număr semnificativ de întreprinderi mici, orașe, orașe și guverne locale au fost infectate, hackerii lăsând în urmă un shell web pentru comandă și control suplimentar.

Microsoft a spus că atacurile inițiale au vizat o serie de sectoare industriale, inclusiv cercetători în boli infecțioase, firme de avocatură, instituții de învățământ superior, contractori de apărare, grupuri de reflecție politice și ONG-uri, dar Krebs notează că a existat o escaladare dramatică și agresivă a rata de infectare, deoarece hackerii încearcă să rămână înaintea patch-ului lansat de Microsoft.

„Până acum am lucrat la zeci de cazuri în care shell-uri web au fost puse pe sistemul victimei pe 28 februarie [înainte ca Microsoft să-și anunțe patch-urile], până astăzi”, a declarat președintele Volexity Steven Adair, care a descoperit atac . „Chiar dacă ați corectat în aceeași zi în care Microsoft și-a publicat patch-urile, există totuși șanse mari să existe un shell web pe serverul dumneavoastră. Adevărul este că, dacă rulați Exchange și nu ați corectat încă acest lucru, există șanse foarte mari ca organizația dvs. să fie deja compromisă.”

Un instrument este disponibil pe Github pentru a identifica serverele infectate pe internet, iar lista este îngrijorătoare.

„Este departamentele de poliție, spitale, tone de guverne de orașe și de stat și uniuni de credit”, a spus o sursă care lucrează îndeaproape cu oficialii federali în această problemă. „Aproape toți cei care rulează Outlook Web Access auto-găzduit și care nu au fost corecționați în urmă cu câteva zile au fost loviți de un atac de zi zero.”

Dimensiunea atacului de până acum ridică îngrijorări cu privire la faza de remediere.

„La apel, multe întrebări au venit de la districtele școlare sau guvernele locale, care toate au nevoie de ajutor”, a spus sursa, vorbind cu condiția ca acestea să nu fie identificate după nume. „Dacă aceste cifre sunt de zeci de mii, cum se face răspunsul la incident? Pur și simplu nu există suficiente echipe de răspuns la incident pentru a face asta rapid.”

„Cea mai bună protecție este aplicarea actualizărilor cât mai curând posibil pe toate sistemele afectate”, a declarat un purtător de cuvânt al Microsoft într-o declarație scrisă. „Continuăm să ajutăm clienții, oferind îndrumări suplimentare privind investigațiile și atenuarea. Clienții afectați ar trebui să contacteze echipele noastre de asistență pentru ajutor și resurse suplimentare.”

Unii au arătat cu degetul către Microsoft pentru că a permis atacurile să aibă loc, mai ales că produsele lor cloud nu au fost afectate.

„Este o întrebare care merită pusă, care va fi recomandarea Microsoft?”, a spus expertul guvernamental în securitate cibernetică. „Vor spune „Patch, dar este mai bine să mergi în nor”. Dar cum își asigură produsele non-cloud? Lăsându-i să se ofilească pe viță.”