W zeszłym tygodniu pisaliśmy o łatkach dla Exchange Server, które wypuścił Microsoft, aby chronić klientów przed exploitami zero-day, używanymi m.in. przez chińską grupę Hafnium. Zdaniem badaczy zabezpieczeń podatności są niezwykle łatwe do wykorzystania, co jeszcze bardziej naraża użytkowników Exchange we wdrożeniach on-premise. Jakby tego było mało, najwyraźniej nadeszła druga fala ataków.
Pierwotne działania Hafnium były najprawdopodobniej motywowane działalnością szpiegowską. Druga fala ataków, która już się rozpoczęła, to już raczej zwyczajna działalność przestępcza. Microsoft potwierdził, iż hakerzy atakują niezałatane serwery Exchange (2013, 2016, 2019) i okazyjnie instalują na nich ransomware Dearcry, czyli złośliwe oprogramowanie szyfrujące pliki i wymuszające okup — sięgający przykładowo 16 tysięcy dolarów.
Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry @MsftSecIntel
— Phillip Misner (@phillip_misner) March 12, 2021
Jak podaje Phillip Misner, Security Program Manager i członek Security Research w Microsoft, zajmujący się Microsoft Defenderem, firma zaobserwowała nową rodzinę obsługiwanego przez ludzi oprogramowania ransomware, która atakuje klientów. Została ona rozpoznana jako Ransom:Win32/DoejoCrypt.A. Ataki te wykorzystują podatności w Exchange Server, które niestety do tej pory nie zostały załatane przez administratorów, mimo że łatki są dostępne od ponad tygodnia. Co więcej, Dearcry stara się uniemożliwić usłudze Windows Update działanie i zainstalowanie poprawek. Następnym krokiem jest zaszyfrowanie plików i wyświetlanie wiadomości z żądaniem okupu na pulpicie. Palo Alto Networks odnotowuje, że wciąż 80 tysięcy serwerów pozostaje niezałatanych.
Nigdy nie widziałem tak wysokich wskaźników [adaptacji] łatek bezpieczeństwa dla żadnego systemu, a co dopiero dla tak szeroko rozpowszechnionego, jak Microsoft Exchange. Mimo to wzywamy organizacje korzystające ze wszystkich wersji Exchange do założenia, że zostały naruszone, zanim załatały swoje systemy, ponieważ wiemy, że atakujący wykorzystywali aktywnie te podatności 0day przez co najmniej dwa miesiące, nim Microsoft opublikował poprawki 2 marca.
— Matt Kraning, Chief Technology Officer, Cortex w Palo Alto Networks
Kraning rekomenduje tu podejście Zero Trust (zalecane też przez Microsoft), które jest filozofią "zakładająca naruszenie". Zero Trust to przejście z domniemanego zaufania — założenia, że wszystko wewnątrz sieci korporacyjnej jest bezpieczne — do modelu, który zakłada naruszenie i wyraźnie weryfikuje status tożsamości, punktów końcowych, sieci i innych zasobów w oparciu o wszystkie dostępne sygnały i dane.
Więcej na temat podatności i adresowanych do nich łatek przeczytacie w naszym artykule z zeszłego tygodnia:
Chiny znów atakują. Microsoft udostępnia łatki bezpieczeństwa dla Exchange Server.
Aktualizacja 15.03.2021: Microsoft opublikował poradnik o tym, jakie kroki należy podjąć, aby ochronić swoje wdrożenia serwerów Exchange. Pełną jego treść w naszym tłumaczeniu znajdziecie w nowym artykule: Microsoft wyjaśnia, jak zabezpieczyć Exchange Server przed ostatnimi atakami.
341f31d.png)