УВАГА! Уразливості Microsoft, якими користуються зловмисники-вимагачі

Останнє оновлення Чер 20, 2023

Кевін Бомонт, колишній співробітник служби безпеки Microsoft, попередив, що вразливості в серверах електронної пошти обміну Microsoft масово експлуатуються кіберзлочинцями, оскільки корпорації не були належним чином попереджені про те, які системи потрібно виправити.

У своєму блозі DoublePulsar Бомонт попередив, що багато організацій, схоже, не встановили виправлення, що призвело до масового використання вразливостей. Крім того, він додав, що сотні систем уряду США викриті, а відділ кібербезпеки та безпеки інфраструктури Міністерства внутрішньої безпеки (CISA) оприлюднив попередження в неділю.

«Вони мають попередню автентифікацію (пароль не потрібен) уразливості віддаленого виконання коду, що настільки ж серйозні, як і виникають»

Він стверджував, що Microsoft вже знала, що це в кінцевому підсумку вибухне міжнародний інцидент для клієнтів. І хоча Microsoft випустила виправлення 5 місяців тому, вона не призначила стандартні ідентифікаційні номери вразливостей, які могли б полегшити користувачам визначення того, що потрібно виправити.

Бомонт додав, що:

«Це створило ситуацію, коли клієнтів Microsoft дезінформували про серйозність однієї з найкритичніших помилок корпоративної безпеки року»

Зверніть увагу, що на момент публікації його звіту Microsoft не відповіла на запит про коментар щодо звинувачень Бомонта.

У той час як багато хакерських груп скористалися перевагами цих уразливостей, одна з визнаних груп — LockFile, яка використовувала недоліки, вперше виправлені Microsoft у березні . Ця хакерська група раніше була пов'язана з багатьма атаками програм-вимагачів, головним чином в Азії та США у виробничій, інженерній, туристичній та фінансовій галузях, згідно з повідомленням у блозі організації безпеки під назвою Symantec. У дописі також увійшла група, яку вперше згадали 20 липня в мережі американської фінансової організації.

Бомонт також підтвердив, що він ідентифікував тисячі невиправлених серверів Exchange у Сполученому Королівстві за допомогою Outlook Web App, причому кілька в домені gov.uk і два на police.uk.

З цього приводу Національний центр кібербезпеки Великобританії прокоментував, що вони знають про глобальну активність, пов’язану із вразливими місцями серверів Microsoft Exchange, які раніше піддавалися нападу.

В організації заявили:

«На цьому етапі ми не бачили доказів скомпрометації британських організацій, але ми продовжуємо відстежувати вплив. NCSC закликає всі організації встановлювати останні оновлення безпеки, щоб захистити себе та повідомляти про будь-які підозри на компроміс через наш веб-сайт».

«NCSC закликає всі організації встановлювати найновіші оновлення безпеки, щоб захистити себе та повідомляти про будь-які підозрювані компроміси через наш веб-сайт», – додали в організації.

Розповідаючи про все стремено, представник американської фірми з кібербезпеки Mandiant сказав Sky News, що вони помітили, що хакери атакують «цілий ряд галузей».

Речник додав:

«Важко віднести цю діяльність до якоїсь однієї групи суб’єктів загрози, оскільки дослідники безпеки розробили й оприлюднили численні приклади доказу коду-експлойта».

«Це означає, що будь-яка група може використовувати експлойт, а організації, які не встановили виправлення, уразливі до атак», — попередив речник, додавши, що швидкість виправлення «залишається низькою», і закликав компанії якнайшвидше запустити виправлення, щоб уникнути більше шкоди.

У зв’язку з новою хвилею кібератак виникає питання про те, як ці вразливості вплинуть на користувачів електронної пошти Microsoft у всьому світі.

Збільшення кількості атак, спрямованих на сервери Microsoft Exchange, почалося після того, як Microsoft оприлюднила попередження на початку цього року, підкреслюючи глобальну хакерську кампанію, також спеціально спрямовану на ці сервери, які, як згадується, належать державним хакерам зі штаб-квартирою в Китаї.

За оцінками, 400 000 серверів з усього світу були скомпрометовані під час масової шпигунської кампанії.

Уряд Великобританії агресивно вказував на методи, які використовували китайські кібершпигуни, щоб отримати та зберегти доступ до зламаних серверів, що також робило ці сервери вразливими для злочинців.

У той час як ті, хто займається кібершпигунством, зазвичай вдаються до тихого спостереження, не порушуючи цільові мережі, злочинці, з іншого боку, зазвичай йдуть на все, щоб порушити скомпрометовані мережі, виконуючи атаки програмного забезпечення-вимагача, що в кінцевому підсумку призводить до того, що конфіденційні критичні файли стають безповоротними, доки не постраждають жертви. нападник заплатив чималий гонорар за вимагання.

Лише минулого місяця британський уряд та його союзники відверто звинуватили Китай у «систематичному кіберсаботажі» у зв’язку зі згаданою кампанією.

Одночасно британський уряд звинуватив підрядників, найнятих пекінською кіберрозвідкою, у проведенні «несанкціонованих кібероперацій у всьому світі… для власної особистої вигоди». Однак не зовсім зрозуміло, чи були несанкціоновані операції спрямовані на використання доступу, створеного в результаті несанкціонованої шпигунської кампанії.

Нещодавнє божевілля нових кібератак — єдина причина, чому Microsoft раптом знову з’явилася в новинах. Зовсім нещодавно з’явилися новини про нову операційну систему Windows 11, яка, як очікується, буде випущена в жовтні 2021 року, і про те, як кіберзлочинці почали використовувати її файли інсталятора для впровадження різних шкідливих програм в пристрої користувачів.

Хоча незрозуміло, як Microsoft буде виправляти будь-які потенційні вразливості, завжди варто бути обережними щодо статистики кібербезпеки. Навіть таке просте, як Microsoft Excel, можна використовувати для проведення масових фішингових атак.

Прогноз майбутніх фішингових атак лякає, і це має турбувати нас усіх. APWG повідомила, що кількість фішингових веб-сайтів зросла з 138 328 до 266 387 за короткий період між 4 кварталом 2018 і 3 кварталом 2019 року. Ще більш занепокоєним є той факт, що будь-яка інформація, яку вкрадено, стає доступною в темній мережі, щоб учасники торгів могли придбати та використати її для будь-яких зловмисних намірів.