Lỗ hổng Microsoft Exchange có thể đã dẫn đến hơn 30,000 tổ chức Hoa Kỳ bị tấn công

Sản phẩm phát hành yên tĩnh bản vá lỗi ngoài băng tần cho một lỗ hổng trong máy chủ Exchange của Microsoft đang nhanh chóng trở thành một câu chuyện lớn, với các báo cáo đáng tin cậy về ít nhất 30,000 tổ chức ở Hoa Kỳ và có thể hàng trăm nghìn trên khắp thế giới, bị tấn công bởi một nhóm hacker Trung Quốc, hiện có toàn quyền kiểm soát các máy chủ và dữ liệu trên đó. .

Báo cáo của Krebs về An ninh rằng một số lượng đáng kể các doanh nghiệp nhỏ, thị trấn, thành phố và chính quyền địa phương đã bị nhiễm virus, với việc tin tặc để lại một lớp vỏ web để ra lệnh và kiểm soát thêm.

Microsoft cho biết các cuộc tấn công ban đầu nhắm vào một loạt các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, tổ chức giáo dục đại học, nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ, nhưng Krebs lưu ý rằng đã có một sự leo thang mạnh mẽ và quyết liệt của tỷ lệ lây nhiễm, khi tin tặc cố gắng đi trước bản vá mà Microsoft phát hành.

“Cho đến nay, chúng tôi đã nghiên cứu hàng chục trường hợp mà web shell được đưa vào hệ thống nạn nhân trở lại vào ngày 28 tháng XNUMX [trước khi Microsoft công bố các bản vá], cho đến hôm nay,” Chủ tịch Volexity, Steven Adair, người đã phát hiện ra tấn công . “Ngay cả khi bạn đã vá vào cùng ngày Microsoft xuất bản các bản vá của mình, thì khả năng cao vẫn có một web shell trên máy chủ của bạn. Sự thật là, nếu bạn đang chạy Exchange và bạn chưa vá lỗi này, thì khả năng rất cao là tổ chức của bạn đã bị xâm phạm. "

Một công cụ có sẵn trên Github để xác định các máy chủ bị lây nhiễm qua internet và danh sách này thật đáng lo ngại.

Một nguồn tin đang làm việc chặt chẽ với các quan chức liên bang về vấn đề này cho biết: “Đó là các sở cảnh sát, bệnh viện, rất nhiều chính quyền thành phố và tiểu bang và các hiệp hội tín dụng. “Chỉ về tất cả những người đang chạy Outlook Web Access tự lưu trữ và chưa được vá vài ngày trước đã bị tấn công zero-day.”

Quy mô của cuộc tấn công cho đến nay làm dấy lên lo ngại về giai đoạn khắc phục hậu quả.

“Trong cuộc gọi, nhiều câu hỏi đến từ các khu học chánh hoặc chính quyền địa phương mà tất cả đều cần được giúp đỡ,” nguồn tin cho biết và nói với điều kiện họ không được xác định tên. “Nếu những con số này lên đến hàng chục nghìn thì việc ứng phó sự cố sẽ được thực hiện như thế nào? Chỉ là không có đủ các đội ứng phó sự cố ngoài kia để làm điều đó một cách nhanh chóng. ”

Người phát ngôn của Microsoft cho biết: “Cách bảo vệ tốt nhất là áp dụng các bản cập nhật càng sớm càng tốt trên tất cả các hệ thống bị ảnh hưởng. “Chúng tôi tiếp tục giúp đỡ khách hàng bằng cách cung cấp hướng dẫn điều tra bổ sung và giảm thiểu. Khách hàng bị ảnh hưởng nên liên hệ với nhóm hỗ trợ của chúng tôi để được trợ giúp thêm và cung cấp tài nguyên ”.

Một số đã chỉ tay vào Microsoft vì đã cho phép các cuộc tấn công xảy ra, đặc biệt là vì các sản phẩm đám mây của họ không bị ảnh hưởng.

“Đó là một câu hỏi đáng đặt ra, khuyến nghị của Microsoft sẽ là gì?”, Chuyên gia an ninh mạng của chính phủ cho biết. “Họ sẽ nói 'Vá, nhưng tốt hơn là lên đám mây.' Nhưng họ đang bảo mật các sản phẩm không phải đám mây của mình bằng cách nào? Để chúng khô héo trên cây nho ”.