Большой взлом Microsoft Exchange Server: что произошло и почему это важно

На прошлой неделе стало известно, что группа китайских хакеров смогла получить контроль над email-аккаунтами клиентов Microsoft через несколько 0day-уязвимостей на серверах почтовых ящиков Exchange Server.

На прошлой неделе стало известно, что группа китайских хакеров смогла получить контроль над email-аккаунтами клиентов Microsoft через несколько 0day-уязвимостей на серверах почтовых ящиков Exchange Server.

Редмондская компания в экстренном режиме выпустила патчи, а взлом претендует на звание одного из самых громких событий в сфере кибербезопасности года, поскольку Exchange довольно широко используется для обмена сообщениями, общего доступа к календарю и совместной работы в компаниях по всему миру. Ситуация может заставить их пересмотреть ИТ-бюджеты в сторону средств защиты безопасности для предотвращения потенциальных атак, а также отказаться от собственных почтовых серверов в пользу облачных решений.

Но внедрение патчей ИТ-отделами займёт время, а злоумышленники уже во всю атакуют уязвимые серверы. Поставщик интернет-услуг Netcraft по итогам проведённого на прошлых выходных анализа обнаружил 99 тысяч серверов, использующих непропатченные версии Outlook Web Access.

Журналисты CNBC в вопросах и ответах собрали факты об инциденте и продолжающихся кибератаках на клиентов Microsoft.

Что случилось?

2 марта Microsoft сообщила об уязвимостях в службе электронной почты Exchange Server, которой пользуется и частный бизнес и госструктуры. Компания опубликовала обновления безопасности для четырёх версий Exchange: 2010, 2013, 2016 и 2019.

И если традиционно патчи выходят во второй вторник каждого месяца (т.н. Patch Tuesday), то в этот раз анонс был сделан в первый вторник марта, что подчёркивает серьёзность уязвимостей.

Ещё одна необычность в том, что вышел патч для версии Exchange 2010, поддержка которого завершилась в октябре. То есть использованные злоумышленниками уязвимости существуют в коде Exchange больше 10 лет, отметил эксперт по кибербезопасности Брайан Кребс.

Их всё ещё эксплуатируют?

Да. По словам Microsoft, главные злодеи — группа хакеров под названием Hafnium, спонсируемая правительством Китая.

Когда начались атаки?

По данным компании Volexity, которая оповестила Microsoft о группировке, первые атаки на Exchange были совершены в начале января.

Как происходит атака?

Принцип взлома описал вице-президент по безопасности Microsoft Том Берт.

Сначала хакеры получают доступ к серверу Exchange с помощью украденного пароля или путём эксплуатации одной из 0day-уязвимостей. На следующем этапе они создают веб-оболочку для удалённого контроля над скомпрометированным сервером. Далее доступ используется для кражи информации из корпоративной сети. 

Среди прочего, хакеры устанавливали и использовали софт для экспорта информации из емейлов. А с недавних пор стали применять в атаках вирусы-вымогатели.

Уязвимости как-то касаются облачных сервисов типа Office 365?

Нет. Ни одна из четырёх уязвимостей, о которых рассказала Microsoft, не затрагивает Exchange Online — облачный сервис для почтовой коммуникации, предоставляемый в рамках бизнес-пакетов Office 365 и Microsoft 365.

Кого атакуют?

Хакеры охотились за информацией подрядчиков оборонного министерства, центров по исследованию инфекционных заболеваний, юридических фирм, вузов, общественных организаций и других учреждений США. В число жертв попали американские ритейлеры, города, Европейская служба банковского надзора.

Сколько всего жертв?

СМИ приводят разные оценки. По сведениям Wall Street Journal, число пострадавших организаций во всём мире может достигать или даже превосходить 250 тысяч. Кребс пишет, что только в США жертвами стало минимум 30 тысяч компаний и государственных структур.

Патчи перекроют хакерам доступ к уже скомпрометированным системам?

Microsoft говорит, что нет. Даже не гарантируют полную защиту от атак.

Это как-то связано с SolarWinds?

Нет, явной взаимосвязи между кибератаками на Exchange Server и взломом SolarWinds, в котором госсекретарь США Майк Помпео обвинил Россию, нет. Хотя временной интервал между событиями меньше трёх месяцев.

Nvidia, Intel, Microsoft и другие крупные компании пострадали от взлома SolarWinds
Nvidia, Intel, Microsoft и другие крупные компании пострадали от взлома SolarWinds
По теме
Nvidia, Intel, Microsoft и другие крупные компании пострадали от взлома SolarWinds

Что сделала Microsoft?

Microsoft знает, что уязвимости активно эксплуатируются хакерами (по её словам, это ограниченные, избирательные атаки) и призывает клиентов как можно скорее установить обновления безопасности, которые выкатила на прошлой неделе. Компания опубликовала инструкции, чтобы помочь клиентам проверить свои серверы на взлом, а позже выпустила дополнительные патчи безопасности для не самых свежих версий Exchange. До этого клиенты могли установить патчи только после установки последних обновлений службы, что затягивало процесс.

Microsoft в комментарии CNBC отметила, что тесно сотрудничает с Агентством по кибербезопасности и защите инфраструктуры (CISA), другими государственными органами и ИБ-компаниями, чтобы предоставить клиентам лучшие рекомендации по снижению угроз. Также она помогает клиентам проводить внутренние расследования и предпринимать меры по минимизации последствий взлома.

Несколько дней назад вьетнамский исследователь безопасности выложил на GitHub, принадлежащем Microsoft, первый функциональный эксплойт уязвимостей Exchange, который позволял авторизовываться на серверах Microsoft Exchange и запускать вредоносный код. GitHub вскоре заблокировал инструмент.

Что дальше?

Кибератаки могут оказаться выгодны для Microsoft. Помимо Exchange Server, она продаёт продукты для обеспечения безопасности, которые её клиенты в свете произошедшего, возможно, захотят использовать гораздо больше.

По мнению аналитиков KeyBanc, взлом Exchange, как и SolarWinds, демонстрирует крайне высокую важность кибербезопасности, поэтому компании продолжат инвестировать большие деньги в эту область в 2021 году. Кроме того, он ускорит миграцию компаний в облако.

Вместе с тем, многие клиенты Microsoft и так уже переключились на облачные почтовые сервисы, некоторые пользуются облачным Google Gmail, у которого нет «болячек» Exchange. Это значит, что 5-10 лет назад атаки Hafnium могли бы нанести гораздо более серьёзный ущерб, а массового исхода в облако могло бы и не быть.

У владельцев NFT-токенов украли произведения искусства на сотни миллионов долларов
У владельцев NFT-токенов украли произведения искусства на сотни миллионов долларов
По теме
У владельцев NFT-токенов украли произведения искусства на сотни миллионов долларов
Роскомнадзор пригрозил заблокировать Twitter через месяц
Роскомнадзор пригрозил заблокировать Twitter через месяц
По теме
Роскомнадзор пригрозил заблокировать Twitter через месяц

Разбираемся в украинском ИТ. Подписывайтесь на наш Телеграм-канал и будьте в курсе последних новостей!