Kevin Beaumont, en före detta säkerhetspersonal hos Microsoft, varnade för att sårbarheter i Microsoft Exchange-e-postservrar utnyttjas av cyberbrottslingar i massor eftersom företag inte varnades ordentligt om vilka system som ska korrigeras.
I sin DoublePulsar-blogg varnade Beaumont för att många organisationer inte verkar ha lappat, vilket har lett till massexploatering av sårbarheter. Han tillade vidare att hundratals system av den amerikanska regeringen är exponerade med Department of Homeland Securitys Cybersecurity and Infrastructure Security (CISA) som utfärdade en varning på söndagen.
"De är förautentiserade (inget lösenord krävs) sårbarheter för exekvering av fjärrkod, vilket är lika allvarligt som de kommer"
Han hävdade att Microsoft redan visste att detta så småningom skulle spränga en internationell incident för kunderna. Och även om Microsoft hade utfärdat korrigeringar för drygt 5 månader sedan, hade de inte tilldelat sårbarhetsstandardens identifieringsnummer, vilket kunde ha gjort det relativt enklare för användare att avgöra vad som behövde korrigeras.
Beaumont tillade att:
"Det skapade en situation där Microsofts kunder blev felaktigt informerade om allvaret av en av årets mest kritiska företagssäkerhetsbuggar"
Observera att Microsoft inte svarade på begäran om kommentar om Beaumonts anklagelser vid tidpunkten för publiceringen av hans rapport.
Medan många hackningsgrupper utnyttjade dessa sårbarheter, är en erkänd grupp LockFile, som sågs utnyttja de brister som först korrigerades i mars av Microsoft. Denna hackergrupp hade tidigare kopplats till många ransomware-attacker främst i Asien och USA inom tillverknings-, ingenjörs-, turist- och finansbranschen, enligt ett blogginlägg från en säkerhetsorganisation som heter Symantec. Inlägget inkluderade vidare gruppen som först nämndes den 20 juli i nätverket av en amerikansk finansorganisation.
Beaumont bekräftade också att han hade identifierat tusentals oparpade Exchange-servrar i Storbritannien med hjälp av Outlook Web App med flera på gov.uk- domänen medan två på police.uk.
Angående detta kommenterade Storbritanniens nationella cybersäkerhetscenter att de är medvetna om den globala aktiviteten som involverar sårbarheterna i Microsoft Exchange-servrar som tidigare var utsatta för att vara måltavla för närvarande.
Organisationen sa:
"I det här skedet har vi inte sett bevis på att brittiska organisationer har äventyrats men vi fortsätter att övervaka efter påverkan. NCSC uppmanar alla organisationer att installera de senaste säkerhetsuppdateringarna för att skydda sig själva och att rapportera eventuella misstänkta kompromisser via vår webbplats".
"NCSC uppmanar alla organisationer att installera de senaste säkerhetsuppdateringarna för att skydda sig själva och att rapportera eventuella misstänkta kompromisser via vår webbplats", tillade organisationen vidare.
Om hela stigbygeln berättade en talesman från Mandiant – ett amerikanskt cybersäkerhetsföretag, till Sky News att de hade observerat “en rad branscher” som måltavlas av hackare.
Talesmannen tillade:
"Det är svårt att tillskriva denna aktivitet till någon grupp av hotaktörer eftersom flera exempel på proof of concept exploateringskod har utvecklats och släppts offentligt av säkerhetsforskare."
"Detta betyder att vilken grupp som helst kan utnyttja exploateringen och organisationer som inte har patchar är sårbara för attack", varnade talespersonen och tillade vidare att patchningstakten "förblir låg" och uppmanade företag att utföra patchar så snart som möjligt för att undvika mer skada.
Med den nya vågen av cyberattacker får det en att undra vad som kommer att bli effekterna av dessa sårbarheter för Microsofts utbyte av e-postanvändare över hela världen.
Det ökade antalet attacker riktade mot Microsoft Exchange-servrar startade efter att Microsoft utfärdade en varning tidigare i år som lyfte fram den globala hackningskampanjen, som också riktade sig specifikt mot dessa servrar, som nämns vara ägda av statligt sponsrade hackare med huvudkontor i Kina.
Enligt en uppskattning har 400 000 servrar från hela världen äventyrats i en massspionagekampanj.
Den brittiska regeringen påpekade aggressivt de tekniker som kinesiska cyberspioner använde för att få och behålla åtkomst till komprometterade servrar, vilket också gjorde dessa servrar sårbara för brottslingar.
Medan de som är inblandade i cyberspionage vanligtvis tar till att bara observera i tysthet utan att störa riktade nätverk, går brottslingar å andra sidan vanligtvis långt för att störa komprometterade nätverk genom att utföra ransomware-attacker – vilket så småningom leder till att känsliga kritiska filer blir oåterkalleliga om inte och tills offren för attacken betalar en rejäl utpressningsavgift.
Bara förra månaden anklagade den brittiska regeringen och dess allierade uppenbart Kina för "systematiskt cybersabotage" i samband med nämnda kampanj.
Samtidigt anklagades entreprenörer som anlitats av Pekings cyberintelligens för att ha utfört "ogodkända cyberoperationer över hela världen … för sin egen personliga vinst" av den brittiska regeringen. Det är dock inte helt klart om de otillåtna operationerna var avsedda att utnyttja åtkomsten som skapats av den otillåtna spionkampanjen.
Den senaste tidens frenesi av nya cyberattacker är den enda anledningen till att Microsoft plötsligt är i nyheterna igen. Nyligen dök det upp nyheter om det nya operativsystemet Windows 11 som förväntas släppas i oktober 2021 och hur cyberkriminella började utnyttja dess installationsfiler för att injicera olika skadliga program i användarnas enheter.
Även om det är oklart hur Microsoft kommer att korrigera eventuella sårbarheter, är det alltid en bra idé att vara försiktig med cybersäkerhetsstatistik. Även något så enkelt som Microsoft Excel kan utnyttjas för att köra massskaliga nätfiskeattacker.
Projiceringen av framtida nätfiskeattacker är skrämmande och den borde bekymra oss alla. APWG rapporterade att nätfiskewebbplatser har ökat från ett antal av 138 328 till 266 387 under den korta perioden mellan 2018 Q4 och 2019 Q3. Vad som är ännu mer oroande är det faktum att all information som blir stulen, blir tillgänglig på Dark Web för anbudsgivare att köpa och använda i uppsåt.