Hackeři se snaží dnem i nocí zneužívat zranitelnosti v serverech Microsoft Exchange, které by jim umožnily krádeže dat a vzdálené spuštění kódu. Výzkumný tým společnosti Check Point Software Technologies Ltd. upozorňuje na stovky kybernetických útoků po celém světě, které se snaží zneužít čtyři zranitelnosti takzvaného nultého dne v Microsoft Exchange Server.
Uplynulý týden, 4. března ve čtvrtek večer, provedli hackeři útok na vybrané systémy české veřejné správy. Mezi napadenými se ocitlo ministerstvo práce a sociálních věcí nebo pražský magistrát. Útoky byly cíleně vedeny na e-mailové servery pracující na platformě Microsoft Exchange a souvisí se zranitelností, pro kterou společnost Microsoft před dvěma týdny vydala záplaty formou aktualizací.
Den před útoky Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal upozornění právě na sadu závažných zranitelností postihující Microsoft Exchange Server. A upozortnil, že útoky budou pokračovat i na dále. Jen v České republice se používá více jak 6 000 e-mailových serverů pracující právě na platformě Microsoft Exchange. Řešením je oprava těchto zranitelností formou vydané aktualizace.
Výzkumníci z týmu Check Point zjistil, že za posledních 24 hodin se počet útoků každé 2 až 3 hodiny zdvojnásobí. Zranitelnostem je proto potřeba věnovat maximální pozornost, protože se očekává další vlna útoků.
Hackeři se snaží dnem i nocí zneužívat zranitelnosti v serverech Microsoft Exchange, které by jim umožnily krádeže dat a vzdálené spuštění kódu.
Po napadení serveru může následovat jeho zničení (wipe), instalace vyděračského programu (ransomwaru), instalace zadních vrátek, krádež všech e-mailových adres a e-mailových zpráv. Protože Exchange Server je často srdcem e-mailové komunikace ve společnosti, účinně by to ochromilo komunikaci společnosti a vedlo by ke úniku intelektuálního vlastnictví společnosti. V tomto případě se jedná o útok zaměřený na korporace a veřejné instituce. Domácí uživatelé obvykle nemají program Microsoft Exchange Server nainstalován, takže jsou v bezpečí.
Check Point zjistil, že 17 procent útoků směřovalo na vládní organizace a vojenský sektor, zatímco 14 procent útoků cílilo na výrobní společnosti. Ale významně byla zasažena i další odvětví, například bankovnictví (11 procent útoků), zdravotnictví (8 procent), které je v posledních měsících pod permanentním tlakem ze strany hackerů, a vzdělávání (7 procent).
Útoky zatím zasáhly především Turecko (19 procent), USA (18 procent) a Itálií (10 procent), nicméně jejich nárůst sledujeme po celém světě, Českou republiku nevyjímaje.
Hackerské útoky přes Microsoft Exchange
Microsoft vydal kritickou záplatu pro Exchange Server, nejpopulárnější poštovní server na světě, dne 3. března 2021. Přes Exchange server prochází prakticky veškerá komunikace uživatelů využívajících klienta Outlook, tedy příchozí a odchozí e-maily nebo pozvánky do kalendáře.
Orange Tsai (Cheng-Da Tsai) z tchajwanské bezpečnostní společnosti DEVCORE upozornil v lednu na dvě zranitelnosti. Microsoft byl vyzván, aby prošetřil skutečný rozsah problému. Následné vyšetřování odhalilo dalších pět kritických zranitelností.
Jaké organizace jsou v ohrožení?
Pokud je váš Microsoft Exchange server připojen k internetu, nebyl aktualizován, nemá nejnovější záplaty nebo není chráněn pomocí nějakého softwaru, jako jsou například řešení Check Point, pak je potřeba předpokládat vysokou míru ohrožení. Útočníci by mohli jednoduše krást podnikové e-maily nebo spustit uvnitř organizace nějaký velmi nebezpečný kód.
„Podobně jako při útocích Sunburst byla pro nepozorované vniknutí do podnikových sítí použita zcela běžná platforma. Částečně dobrou zprávou je to, že úspěšně proniknout do ohrožených firem zvládnou tímto způsobem jen zkušení a dobře financovaní hackeři. Hack Exchange serveru pomocí zero-day zranitelností je velmi sofistikovaná záležitost. Bohužel stále neznáme identitu útočníků, ani jejich motivaci a účel útoků. Ohrožené organizace musí okamžitě zranitelnosti záplatovat a také proskenovat svou síť a data, zda se uvnitř firmy už nenachází nějaká hrozba,“ říká Security Engineer v kyberbezpečnostní společnosti Check Point Pavel Krejčí.
Ochrana před dalšími útoky
Check Point upozorňuje, že pro ochranu před budoucími útoky je nutné:
Okamžitě aktualizujte všechny servery Microsoft Exchange a nainstalujte nejnovější patche. Tato aktualizace není automatická a musíte ji provést manuálně.
Používejte komplexní preventivní bezpečnostní řešení.
Jan Hrbáček
