Microsoft Exchange-fel kan ha lett till att 30,000 XNUMX+ amerikanska organisationer blivit hackade

Smakämnen tyst release av en out of band patch för ett fel i Microsofts Exchange-server håller snabbt på att förvandlas till en stor historia, med trovärdiga rapporter om minst 30,000 XNUMX organisationer i USA, och möjligen hundratusentals runt om i världen, som hackats av en kinesisk hackergrupp, som nu har full kontroll över servrarna och data på dem .

Krebs om säkerhetsrapporter att ett betydande antal småföretag, städer, städer och lokala myndigheter har blivit infekterade, med hackarna som lämnar efter sig ett webbskal för ytterligare kommando och kontroll.

Microsoft sa att de ursprungliga attackerna var riktade mot en rad industrisektorer, inklusive forskare av infektionssjukdomar, advokatbyråer, institutioner för högre utbildning, försvarsentreprenörer, politiska tankesmedjor och icke-statliga organisationer, men Krebs noterar att det har skett en dramatisk och aggressiv upptrappning av infektionshastigheten, eftersom hackarna försöker ligga steget före den patch som Microsoft släppte.

"Vi har arbetat med dussintals fall hittills där webbskal sattes på offersystemet tillbaka den 28 februari [innan Microsoft tillkännagav sina patchar], hela vägen fram till idag", säger Volexitys president Steven Adair, som upptäckte ge sig på . "Även om du patchade samma dag som Microsoft publicerade sina patchar, finns det fortfarande en stor chans att det finns ett webbskal på din server. Sanningen är att om du kör Exchange och du inte har patchat det här än, så finns det en mycket stor chans att din organisation redan är äventyrad.”

Ett verktyg finns tillgängligt på Github för att identifiera infekterade servrar över internet, och listan är oroande.

"Det är polisavdelningar, sjukhus, massor av stads- och delstatsregeringar och kreditföreningar", säger en källa som arbetar nära med federala tjänstemän i frågan. "Precis alla som kör Outlook Web Access med egen värd och som inte blev patchad för några dagar sedan drabbades av en nolldagsattack."

Attackens storlek hittills väcker oro för saneringsfasen.

"På samtalet kom många frågor från skoldistrikt eller lokala myndigheter som alla behöver hjälp", sa källan och talade på villkor att de inte identifierades med namn. "Om dessa siffror uppgår till tiotusentals, hur går incidentresponsen till? Det finns helt enkelt inte tillräckligt med incidentresponsteam där ute för att göra det snabbt."

"Det bästa skyddet är att tillämpa uppdateringar så snart som möjligt för alla påverkade system", sa en talesperson för Microsoft i ett skriftligt uttalande. "Vi fortsätter att hjälpa kunder genom att tillhandahålla ytterligare utredningar och begränsningsvägledning. Berörda kunder bör kontakta våra supportteam för ytterligare hjälp och resurser."

Vissa har pekat finger åt Microsoft för att de låtit attackerna ske, särskilt eftersom deras molnprodukter inte har påverkats.

"Det är en fråga värd att ställa, vad kommer Microsofts rekommendation att vara?", sa regeringens expert på cybersäkerhet. "De kommer att säga "Patch, men det är bättre att gå till molnet." Men hur säkrar de sina icke-molnprodukter? Låt dem vissna på vinstocken."