A Microsoft múlt héten értesítette az ügyfeleit, hogy számos on-premise Microsoft Exchange szerverre vonatkozó javítást adott ki, amik olyan nulladik napi támadások ellen nyújtanak védelmet, amit bizonyos csoportok igyekeznek kihasználni.
A sérülékenység a 2010-es, 2013-as, 2016-os és 2019-es Exchange szervereket érinti. Az Online Exchange-re nem vonatkozik. A Microsoft ezzel egyidőben arra kérte ügyfeleit, hogy segítsenek minél előbb orvosolni a problémát, és azonnal telepítsék a javításokat az általuk üzemeltetett, érintett levelezőszerverek esetén. A Kermann Zrt. is pontosan így járt el, így a 03.03-án kiadott javítást soron kívül, azonnal elkezdtük telepíteni ügyfeleink rendszereire.
Milyen mértékű támadásról van szó?
A támadások január 6-án kezdődtek, a kiadott biztonsági frissítés pedig március elején jelent meg, így a hackereknek két hónapjuk volt támadásaikat kivitelezni.
Egyelőre hivatalos lista még nincs az érintett cégekről vagy állami szervekről, amik esetlegesen a támadások áldozatai lehettek. Különböző források szerint közel 30.000 cég rendszerét sikerült feltörni, de a hivatalos számokra még várni kell.
A támadás 3 lépésből áll. Első lépésként hozzáférést szereznek az adott Exchange szerverhez, ezt akár lopott jelszóval, akár korábbi sérülékenységeket kihasználva. Második lépésben létrehoznak egy ún. web shellt, amivel távolról képesek vezérelni a feltört szervert. Harmadik lépésben pedig adatokat lopnak az érintett hálózatról.
Ki áll a hackelés mögött?
A legtöbb forrás szerint a támadást egy Hafnium nevű kínai csapat hajtotta végre. Bár a Microsoft hivatalos számadatokat nem közölt arról, hogy hány érintettje lehet a sebezhetőségnek, a háttérben munkálkodó csapatnak ők is a Hafniumot jelölték meg egy blog postjukban. E mellett azt is hozzátették, hogy a csoportot nagy valószínűség szerint a kínai állam támogatja.
A Hafnium elsősorban amerikai cégeket céloz meg a támadásaival, de nem fókuszál egyetlen iparágra, tehát lehetnek ezek egészségügyi kutató cégek, ügyvédi irodák, felsőoktatási intézmények, védelmi berendezések gyártói, meglehetősen széles a spektrum. Korábbi támadások alapján a csoport a megszerzett adatokat egyszerűen közzéteszi bizonyos fájlmegosztó portálokon.
Mi a teendő?
Ahogy azt a Microsoft is ajánlja, érdemes azonnal telepíteni az általuk kiadott biztonsági javításokat. E mellett utólag is lehet esetleges támadás nyomai után kutatni. Ehhez a Microsoft kiadott egy scriptet, amit mindenki számára elérhetővé is tett. A logok átvizsgálásához szintén kilistázták azokat a támadásra utaló nyomokat (indicators of compromise, továbbiakban IOCs), amiket eddig sikerült megfigyelniük, és közzétették az ehhez kapcsolódó listát.
