Теги → exchange server

ФБР провело успешную операцию по удалению бэкдоров с сотен серверов Microsoft Exchange в США

Ресурс TechCrunch сообщил о получении ФБР санкции суда в Хьюстоне (Техас, США) на проведение операции по «копированию и удалению» бэкдоров с сотен почтовых серверов Microsoft Exchange в Соединённых Штатах, использовавшихся хакерами для атаки на тысячи сетей.

Bryce Durbin / TechCrunch

Bryce Durbin / TechCrunch

В марте Microsoft сообщила об атаке на серверы Exchange, за которой, предположительно, стояла новая хакерская группа Hafnium, спонсируемая Китаем. Используя объединённые в цепочку четыре уязвимости 0-day в программном обеспечении Microsoft Exchange Server, хакеры проникли на сервер и похитили его содержимое, оставив вредоносное ПО. Microsoft устранила уязвимости, но патчи не закрыли бэкдоры уже взломанных серверов. И спустя некоторое время уже другие хакерские группы начали атаковать серверы, используя те же методы и пытаясь запустить программы-вымогатели.

В заявлении Министерства юстиции США указано, что, хотя по мере внесения исправлений в ПО число заражённых серверов снизилось, многим владельцам не удалось удалить вредоносные веб-оболочки (скрипты), обеспечивающие хакерам удалённый доступ.

В результате проведенной ФБР операции было произведено удаление оставшихся веб-оболочек хакерской группы Hafnium, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США.

«ФБР провело удаление, отправив серверу команду через веб-оболочку, которая была разработана для того, чтобы заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — отмечено в сообщении Минюста США.

Microsoft Defender теперь автоматически защищает от уязвимости нулевого дня в Exchange Server

Разработчики из Microsoft продолжают прилагать усилия для устранения недавно обнаруженных уязвимостей в Exchange Server, которые используются злоумышленниками для атак на электронные почтовые ящики организаций по всему миру. На этот раз были внесены изменения в работу антивируса Microsoft Defender, который теперь автоматически устраняет одну из четырёх уязвимостей нулевого дня в случае её обнаружения.

Речь идёт о CVE-2021-26855, уязвимости подделки запросов на стороне сервера (SSRF) в Exchange, эксплуатация которой позволяет отправлять произвольные HTTP-запросы и проходить аутентификацию. Это одна из четырёх опасных уязвимостей Exchange Server, которые активно используются злоумышленниками для совершения атак на разные компании и организации, поэтому Microsoft рекомендует пользователям не затягивать с обновлением антивирусного программного обеспечения.

«Сегодня мы предприняли дополнительный шаг для поддержки наших клиентов, которые всё ещё используют уязвимые серверы Exchange и не успели установить соответствующий патч безопасности. Благодаря последнему обновлению антивирус Microsoft Defender и System Center Endpoint Protection автоматически устраняют уязвимость CVE-2021-26855 на любом уязвимом сервере Exchange, где они развёрнуты. Клиентам не нужно предпринимать никаких действий, кроме проверки того, что они используют последнюю версию антивирусного ПО (сборка 1.333.747.0 или новее)», — говорится в сообщении Microsoft.

Разработчики также отмечают, что наиболее надёжным вариантом защиты серверов Exchange от атак злоумышленников через обнаруженные недавно уязвимости является установка накопительных обновлений для этого ПО, которые были выпущены ранее в этом месяце.

Хакерская атака через уязвимость в Microsoft Exchange Server грозит обернуться новым кризисом кибербезопасности

Уязвимость в программном обеспечении Microsoft Exchange Server позволила хакерам взломать не менее 60 тыс. организаций по всему миру. По мнению специалистов в сфере информационной безопасности, злоумышленники пытаются заразить как можно больше устройств до того, как Microsoft сумеет обезопасить своих клиентов. Источник считает, что дальнейшее развитие сложившейся ситуации может обернуться «глобальным кризисом кибербезопасности».

В сообщении сказано, что за атакой предположительно стоят китайские хакеры из группировки Hafnium, а их целями являются государственные и коммерческие предприятия, в том числе банки, электростанции, образовательные учреждения и др. Предполагается, что на заключительных этапах вредоносной кампании хакерам удалось автоматизировать процесс, за счёт чего в кратчайшие сроки были взломаны тысячи других компаний по всему миру.

«Мы предпринимаем ответные меры для оценки и устранения последствий. Угроза сохраняется и развивается, поэтому мы призываем операторов интернет-сетей отнестись к ней очень серьёзно», — прокомментировал данный вопрос представитель Белого дома, подтвердив тем самым озабоченность американских властей сложившейся ситуацией.

Представитель компании Volexity, работающей в сфере информационной безопасности, сообщил о том, что хакерская группировка Hafnium несколько месяцев использовала уязвимость в Exchange Server для взлома разных организаций и компаний. Первоначально количество жертв было небольшим, поскольку злоумышленники не хотели привлекать к себе внимание, но позднее кампания приобрела иные масштабы. Стоит отметить, что так называемый кризис кибербезопасности случился всего через несколько месяцев после другой масштабной кампании, когда хакеры внедрили вредоносное ПО в обновления для продуктов компании SolarWinds. В результате той атаки злоумышленникам удалось взломать девять федеральных агентств США и не менее 100 компаний.

Превзошли SolarWinds: СМИ сообщили о взломе почтовых ящиков более 30 тысяч организаций США через Exchange Server

Обнаруженная уязвимость Microsoft Exchange Server позволила взломать электронные почтовые ящики более 30 тысяч правительственных и коммерческих организаций США и сотен тысяч по всему миру. Об этом заявили журнал Wired и журналист-расследователь Брайан Кребс (Brian Krebs). Объём утечки данных не называется.

Davil Paul, Bloomberg

Davil Paul, Bloomberg

Исследователи поддерживают версию, что взлом осуществила группировка китайских хакеров Hafnium, однако в их заявлении нет утверждений, что команда спонсируется правительством Китая. Предположительно, взлом продолжался около двух месяцев: он начался 6 января и завершился 2 марта, когда Microsoft выпустила обновление безопасности.

От атаки пострадали тысячи различных правительственных и коммерческих организаций, среди которых полиция, пожарные службы, финансовые учреждения и образовательные структуры. О похищении каких-то конкретных данных не сообщалось, но, эксперты утверждают, что хакеры установили на сервера организаций вредоносное ПО, которое призвано облегчить дальнейший взлом.

«Это массовый взлом. Абсолютно массовый. Мы говорим о тысячах скомпрометированных серверов по всему миру», — заявил в разговоре с Wired бывший сотрудник Агентства национальной безопасности, знакомый с ходом расследования.

Исследователи утверждают, что процесс обнаружения и очистки серверов от хакерского ПО потребует значительных усилий от организаций. Президент компании по кибербезопасности Volexity также уточнил, что если компании пользуются старой версией Exchange Server, то очень высока вероятность, что их уже взломали.

Официальный список пострадавших организаций пока не разглашается, из-за чего масштаб атаки невозможно оценить. Несмотря на это, советник Белого дома по национальной безопасности Джейк Салливан (Jake Sullivan) отметил, что власти следят за развитием ситуации и внедрением необходимых исправлений в защиту.

Представитель Microsoft уже отметил, что компания тесно сотрудничает с Агентством по кибербезопасности и защите инфраструктуры (CISA) и другими госучреждениями, чтобы предоставить клиентам лучшие рекомендации и меры по снижению рисков.

Это уже вторая крупная атака через продукты американских IT-компаний. В декабре 2020 года стало известно о взломе клиентов SolarWinds. Предположительно, от атаки пострадали более 18 тысяч организаций. Среди них 100 различных организаций и 9 федеральных агентств США.

Microsoft обвинила китайских хакеров в атаке на американские компании через Exchange Server

Китайские хакеры попытались взломать локальные хранилища почтовых ящиков Microsoft Exchange Server. Об этом сообщается в блоге компании. Microsoft считает, что злоумышленники стремились получить различную информацию об американских компаниях.

Microsoft

Microsoft

В Microsoft считают, что в атаке замешана группировка Hafnium, которая якобы спонсируется правительством Китая и работает за пределами страны. В ходе атаки хакеры пытались получить сведения о работе юридических фирм, исследователей инфекционных заболеваний, вузов и других организаций.

Злоумышленники провели атаку в три этапа. Сначала они получили доступ к серверам Exchange. Для этого, предположительно, использовались украденные пароли или ещё не выявленные уязвимости. Затем хакеры создали скрипт для управления сервером, после чего попытались похитить корпоративные данные.

В разговоре с TechCrunch Microsoft отказалась назвать число успешных атак, охарактеризовав их словом «ограниченное». Перечень пострадавших организаций и объём похищенных данных также не раскрывается. Компания также заявила, что этот взлом не связан с атакой на IT-компанию SolarWinds, в результате которой пострадали 109 компаний и 9 федеральных ведомств США.

Для защиты клиентов, разработчики выпустили обновление Exchange Server раньше запланированного. Компания призвала всех пользователей платформы обновить сервис под предлогом защиты от подобных атак.

window-new
Soft
Hard
Тренды 🔥