HAFNIUM: rozsáhlý útok přes zranitelnosti v MS Exchange

HAFNIUM: rozsáhlý útok přes zranitelnosti v MS Exchange

Společnost Microsoft 2. března 2021 oznámila rozsáhlé hackerské útoky, které zneužívají zeroday zranitelnosti v e-mailovém systému Microsoft Exchange. Skupina útočníků pod jménem Hafnium využila bezpečnostní mezery a zranitelnosti, konkrétně tři chyby zabezpečení, které umožňují vzdálené spuštění kódu a převzetí kontroly nad systémem – CVE-2021-26857, CVE-2021-26858 a CVE-2021-27065; a dále pak zranitelnost CVE-2021-26855, která umožní zneužití.

Kybernetická hrozba Hafnium postihuje společnosti, které využívají Microsoft Exchange On-premise, ale i Hybrid Office365 (Microsoft Office + část On-premise). Společnost Microsoft vydala na výše zmíněné zranitelnosti záplaty a doporučila jejich okamžitou instalaci. Záplaty budou obsaženy i v nadcházejícím Exchange 2019 CU9 a Exchange 2016 CU20.

Profesionální a sofistikovaný útok na společnosti po celém světě

Podle odhadů útoky zasáhly 60 tisíc společností po celém světě, při čemž nejvíce cílily na instituce a společnosti v Americe. Nevyhnuly se ale ani Evropě. Útok postihl i řadu českých společností, hrozbu na svém Twitteru potvrdil pražský primátor Zdeněk Hřib. Dalším z potvrzených cílů bylo ministerstvo práce a sociálních věcí.

Ředitel bezpečnosti státní agentury NAKIT (Národní agentura pro komunikační a informační technologie) v rozhovoru k Hafnium útokům upozornil, že hackeři dobře ví, co dělají, a nejde zatím o nějaký automatický plošný útok.

Co znamená Hafnium?

Hafnium je název, který Microsoft používá k označení konkrétní skupiny zločinců, kteří údajně operují z Číny prostřednictvím cloudových služeb v USA. Podle společnosti Microsoft se tato skupina primárně zajímá o infiltraci z řady průmyslových odvětví, včetně výzkumných pracovníků v oblasti infekčních nemocí, právnických firem, vysokých škol, dodavatelů obrany, politických dat a nevládních organizací.

Nyní je Hafnium gang spojován s útoky, které využily zranitelnosti v Microsoft Exchange. Tyto zeroday zranitelnosti lze mimo jiné použít k získání přístupu do systémů Exchange a k implantaci malwaru do systémů Exchange, což podvodníkům poskytne vstupní cestu bez potřeby přihlašovacích údajů. Chyby představují útočníkům řadu různých mezer, včetně způsobů, jak mohou kyberzločinci:

  • poskytnout ověřený přístup k serveru Exchange bez nutnosti hesla,
  • upgradovat přístupová oprávnění k účtu,
  • zapisovat soubory na libovolná místa na serveru.

Oficiální vyjádření federální agentury Cybersecurity and Infrastructure Security Agency (CISA):

Společnost Microsoft vydala bezpečnostní aktualizace pro řešení slabých míst ovlivňujících Microsoft Exchange Server 2013, 2016 a 2019, kde vzdálený útočník může zneužít tři zranitelná místa vzdáleného spuštění kódu - CVE-2021-26857, CVE-2021-26858 a CVE- 2021-27065 pro převzetí kontroly nad ovlivněným systémem; a zneužít chybu zabezpečení - CVE-2021-26855 - k získání přístup k citlivým informacím. Tyto chyby zabezpečení jsou nyní již aktivně využívány.

CISA také vydala nouzovou směrnici, která vyzvala organizace, aby opravovaly místní Exchange servery a prohledávaly v jejich sítích indikátory útoku.

Další podrobnosti o HAFNIUM a rady, jak byste měli reagovat, najdete v tomto videu od Mat Gangwera, vedoucího týmu Sophos Managed Threat Response (MTR).

Vznik nové globální kyber hrozby

Po prvních provedených útocích skupinou Hafnium začali útočit skrze objevené zranitelnosti i další hackerské skupiny. Jeden z těchto typů útoků instaluje novou variantu ransomwaru s názvem DEARCRY.

Je důležité si uvědomit, že oprava pouze chrání vaši společnost před zneužitím zranitelností do budoucna. Nezaručuje, že protivník již zranitelnosti nevyužil. Ostatní aktéři hrozeb nyní využívají Hafnium k provádění řady útoků, včetně šíření ransomware.

Znepokojuje vás Hafnium?

  1. Kontaktujte nás a ověřte, že ve vašem prostředí byla identifikována a neutralizována veškerá potenciální nepřátelská aktivita.
  2. Přečtěte si náš článek s tipy, jak zjistit, zda nebyla vaše bezpečnost ohrožena.
  3. Zúčastněte se našeho webináře: Hafnium – průvodce novou kybernetickou hrozbou.

Dárek pro odběratele newsletteru

Průvodce kybernetickou prevencí

Zjistěte, jak díky několika základním radám můžete zvýšit úroveň vašeho zabezpečení a ochránit data proti nejpokročilejších hrozbám.

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.

Přihlaste se k odběru newsletteru, ať vám neuniknou žádné tipy v oblasti kyberbezpečnosti. Jako dárek dostanete e-book.