Уязвимость Microsoft Exchange могла привести к взлому более 30,000 XNUMX организаций в США

Ассоциация тихий выпуск внепланового исправления для уязвимости в сервере Microsoft Exchange быстро превращается в крупную историю с достоверными сообщениями о том, что по меньшей мере 30,000 XNUMX организаций в США и, возможно, сотни тысяч по всему миру были взломаны китайской хакерской группой, которая теперь имеет полный контроль над серверами и данными на них. .

Кребс об отчетах о безопасности что значительное количество малых предприятий, поселков, городов и местных органов власти были заражены, а хакеры оставили веб-оболочку для дальнейшего управления и контроля.

Microsoft заявила, что первоначальные атаки были нацелены на ряд отраслевых секторов, включая исследователей инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонных подрядчиков, аналитические центры и неправительственные организации, но Кребс отмечает, что произошла резкая и агрессивная эскалация атаки. скорость заражения, так как хакеры пытаются опередить выпуск патча Microsoft.

«На данный момент мы работали над десятками случаев, когда веб-оболочки устанавливались на систему-жертву еще 28 февраля [до того, как Microsoft объявила о своих исправлениях], вплоть до сегодняшнего дня», — сказал президент Volexity Стивен Адэр, обнаруживший уязвимость. атака . «Даже если вы установили патч в тот же день, когда Microsoft опубликовала свои патчи, велика вероятность того, что на вашем сервере есть веб-шелл. Правда в том, что если вы используете Exchange и еще не исправили это, очень высока вероятность того, что ваша организация уже скомпрометирована».

На Github доступен инструмент для выявления зараженных серверов через Интернет, и этот список вызывает беспокойство.

«Это полицейские управления, больницы, множество городских и государственных правительств и кредитных союзов», — сказал один из источников, который тесно сотрудничает с федеральными чиновниками по этому вопросу. «Практически все, кто использует собственный Outlook Web Access и не был исправлен несколько дней назад, подверглись атаке нулевого дня».

Масштабы атаки на данный момент вызывают опасения по поводу фазы восстановления.

«Во время телефонного разговора было много вопросов от школьных округов или местных органов власти, которым всем нужна помощь», — сказал источник, говоря при условии, что их имена не называются. «Если эти цифры исчисляются десятками тысяч, как осуществляется реагирование на инциденты? Просто не хватает групп реагирования на инциденты, чтобы сделать это быстро».

«Лучшая защита — как можно скорее применять обновления для всех затронутых систем», — говорится в письменном заявлении представителя Microsoft. «Мы продолжаем помогать клиентам, предоставляя дополнительные рекомендации по расследованию и смягчению последствий. Затронутые клиенты должны обратиться в нашу службу поддержки за дополнительной помощью и ресурсами».

Некоторые указывали пальцем на Microsoft за то, что она допустила атаки, тем более что их облачные продукты не пострадали.

«Стоит задаться вопросом, каковы будут рекомендации Microsoft?», — сказал правительственный эксперт по кибербезопасности. «Скажут: «Патч, но лучше в облако». Но как они защищают свои необлачные продукты? Дать им засохнуть на лозе».