Помилка Microsoft Exchange могла призвести до зламу понад 30,000 XNUMX організацій США

Команда тихий випуск зовнішнього патча для недоліку в сервері Microsoft Exchange швидко перетворюється на велику історію, з достовірними повідомленнями про щонайменше 30,000 XNUMX організацій у США та, можливо, сотні тисяч у всьому світі, які були зламані китайською групою хакерів, яка тепер має повний контроль над серверами та даними на них .

Про це повідомляє Krebs on Security що значна кількість малих підприємств, селищ, міст і органів місцевого самоврядування були заражені, причому хакери залишили веб-оболонку для подальшого управління та контролю.

Microsoft заявила, що початкові атаки були спрямовані на низку галузей промисловості, включаючи дослідників інфекційних захворювань, юридичні фірми, вищі навчальні заклади, оборонних підрядників, політичні аналітичні центри та НУО, але Кребс зазначає, що відбулася драматична та агресивна ескалація рівень зараження, оскільки хакери намагаються випередити виправлення, випущене Microsoft.

«Наразі ми працювали над десятками випадків, коли веб-оболонки були встановлені на систему-жертву ще 28 лютого [до того, як Microsoft оголосила про свої виправлення], аж до сьогодні», — сказав президент Volexity Стівен Адер, який виявив, напад . «Навіть якщо ви встановили виправлення в той самий день, коли Microsoft опублікувала свої виправлення, є велика ймовірність того, що на вашому сервері є веб-оболонка. Правда в тому, що якщо ви використовуєте Exchange і ще не виправили це, існує дуже висока ймовірність того, що вашу організацію вже скомпрометовано».

На Github доступний інструмент для виявлення заражених серверів в Інтернеті, і цей список викликає занепокоєння.

«Це поліцейські департаменти, лікарні, безліч міських і державних урядів і кредитних спілок», — повідомило одне джерело, яке тісно співпрацює з федеральними чиновниками з цього питання. «Майже всі, хто використовує автономний Outlook Web Access і не отримав виправлення кілька днів тому, зазнали атаки нульового дня».

Розмір атаки наразі викликає занепокоєння щодо етапу відновлення.

«Під час дзвінка багато запитань було від шкільних округів або місцевих органів влади, які потребують допомоги», — сказало джерело за умови, що їхні імена не були названі. «Якщо ці цифри обчислюються десятками тисяч, як відбувається реагування на інциденти? Там просто недостатньо груп реагування на інциденти, щоб зробити це швидко».

«Найкращий захист — якомога швидше застосувати оновлення для всіх постраждалих систем», — сказав представник Microsoft у письмовій заяві. «Ми продовжуємо допомагати клієнтам, надаючи додаткові розслідування та вказівки щодо пом’якшення наслідків. Постраждалі клієнти повинні зв’язатися з нашою командою підтримки, щоб отримати додаткову допомогу та ресурси».

Деякі вказували пальцем на Microsoft за те, що вона допустила атаки, особливо тому, що їхні хмарні продукти не постраждали.

«Це питання, яке варто задати, якою буде рекомендація Microsoft?», – сказав державний експерт з кібербезпеки. «Вони скажуть: «Патч, але краще в хмару». Але як вони захищають свої нехмарні продукти? Нехай вони зів’януть на виноградній лозі».