Кевин Бомонт, бывший сотрудник службы безопасности Microsoft, предупредил, что уязвимости в серверах электронной почты Microsoft Exchange массово используются киберпреступниками, поскольку корпорации не были должным образом предупреждены о том, какие системы нужно исправлять.
В своем блоге DoublePulsar Бомонт предупредил, что многие организации, похоже, не установили патчи, что привело к массовой эксплуатации уязвимостей. Он также добавил, что сотни систем правительства США раскрыты, а Департамент кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности опубликовал предупреждение в воскресенье.
«Они представляют собой уязвимости с предварительной аутентификацией (пароль не требуется) для удаленного выполнения кода, что настолько серьезно, насколько это возможно».
Он утверждал, что Microsoft уже знала, что это в конечном итоге приведет к международному инциденту для клиентов. И хотя Microsoft выпустила исправления добрых 5 месяцев назад, она не присвоила уязвимостям стандартные идентификационные номера, которые могли бы облегчить пользователям определение того, что требует исправления.
Бомонт добавил, что:
«Это создало ситуацию, когда клиенты Microsoft были дезинформированы о серьезности одной из самых критических ошибок корпоративной безопасности года».
Обратите внимание, что Microsoft не ответила на просьбу прокомментировать утверждения Бомонта на момент публикации его доклада.
Хотя многие хакерские группы воспользовались этими уязвимостями, одна признанная группа — это LockFile, которая, как было замечено, воспользовалась уязвимостями, впервые исправленными Microsoft в марте . Эта хакерская группа ранее была связана со многими атаками программ-вымогателей, главным образом в Азии и США, в производственной, машиностроительной, туристической и финансовой отраслях, согласно сообщению в блоге организации по безопасности под названием Symantec. В посте также упоминалась группа, впервые упомянутая 20 июля в сети финансовой организации США.
Бомонт также подтвердил, что он обнаружил тысячи неисправленных серверов Exchange в Соединенном Королевстве с помощью Outlook Web App, несколько из которых находятся в домене gov.uk, а два — в домене Police.uk.
На это Национальный центр кибербезопасности Великобритании прокомментировал, что им известно о глобальной активности, связанной с уязвимостями в серверах Microsoft Exchange, которые ранее подвергались атакам в настоящее время.
Организация заявила:
«На данном этапе мы не видели доказательств того, что британские организации были скомпрометированы, но мы продолжаем следить за последствиями. NCSC призывает все организации установить последние обновления безопасности, чтобы защитить себя, и сообщать о любых подозрениях на компрометацию через наш веб-сайт».
«NCSC призывает все организации устанавливать последние обновления безопасности, чтобы защитить себя, и сообщать о любых подозрениях на компрометацию через наш веб-сайт», — добавили в организации.
Говоря обо всем этом, представитель Mandiant, американской фирмы, занимающейся кибербезопасностью, сообщил Sky News, что они наблюдали «целый ряд отраслей», на которые нацелились хакеры.
Представитель добавил:
«Трудно отнести эту активность к какой-либо одной группе субъектов угроз, потому что исследователями безопасности было разработано и опубликовано множество примеров кодов эксплойтов, подтверждающих концепцию».
«Это означает, что любая группа может использовать эксплойт, а организации, которые не установили исправления, уязвимы для атак», — предупредил представитель, добавив, что скорость установки исправлений «остается низкой», и призвал компании установить исправления как можно скорее, чтобы избежать больше урона.
С новой волной кибератак возникает вопрос, как эти уязвимости повлияют на пользователей электронной почты Microsoft во всем мире.
Увеличение числа атак, нацеленных на серверы Microsoft Exchange, началось после того, как Microsoft в начале этого года выпустила предупреждение, в котором подчеркивается глобальная хакерская кампания, в том числе конкретно нацеленная на эти серверы, которые, как упоминается, принадлежат спонсируемым государством хакерам со штаб-квартирой в Китае.
По оценкам, 400 000 серверов со всего мира были скомпрометированы в ходе массовой шпионской кампании.
Правительство Великобритании агрессивно указывало на методы, которые китайские кибершпионы использовали для получения и сохранения доступа к скомпрометированным серверам, что также делало эти серверы уязвимыми для преступников.
В то время как те, кто занимается кибершпионажем, обычно прибегают к простому скрытому наблюдению, не нарушая работу целевых сетей, преступники, с другой стороны, обычно идут на многое, чтобы нарушить работу скомпрометированных сетей, выполняя атаки программ-вымогателей, что в конечном итоге приводит к тому, что конфиденциальные важные файлы становятся безвозвратными до тех пор, пока жертвы нападение платит изрядную плату за вымогательство.
Буквально в прошлом месяце британское правительство и его союзники открыто обвинили Китай в «систематическом киберсаботаже» в связи с указанной кампанией.
В то же время подрядчики, нанятые пекинской киберразведкой, были обвинены британским правительством в проведении «несанкционированных киберопераций по всему миру… для их личной выгоды». Однако не совсем ясно, предназначались ли несанкционированные операции для использования доступа, установленного в ходе несанкционированной шпионской кампании.
Недавнее безумие новых кибератак — единственная причина, по которой Microsoft снова внезапно появляется в новостях. Совсем недавно появились новости о новой операционной системе Windows 11, выход которой ожидается в октябре 2021 года, и о том, как киберпреступники начали использовать ее установочные файлы для внедрения различных вредоносных программ на устройства пользователей.
Хотя неясно, как Microsoft будет исправлять любые потенциальные уязвимости, всегда полезно быть осторожным со статистикой кибербезопасности. Даже такую простую вещь, как Microsoft Excel, можно использовать для проведения массовых фишинговых атак.
Прогнозы будущих фишинговых атак пугают, и это должно беспокоить всех нас. APWG сообщила, что количество фишинговых веб-сайтов увеличилось со 138 328 до 266 387 за короткий период между четвертым кварталом 2018 года и третьим кварталом 2019 года. Что еще более тревожно, так это тот факт, что любая информация, которая была украдена, становится доступной в Даркнете для участников торгов, чтобы купить и использовать для любых злонамеренных намерений.