HAFNIUM: rozsáhlý útok přes zranitelnosti v MS Exchange
Společnost Microsoft 2. března 2021 oznámila rozsáhlé hackerské útoky, které zneužívají zeroday zranitelnosti v e-mailovém systému Microsoft Exchange. Skupina útočníků pod jménem Hafnium využila bezpečnostní mezery a zranitelnosti, konkrétně tři chyby zabezpečení, které umožňují vzdálené spuštění kódu a převzetí kontroly nad systémem – CVE-2021-26857, CVE-2021-26858 a CVE-2021-27065; a dále pak zranitelnost CVE-2021-26855, která umožní zneužití.
Kybernetická hrozba Hafnium postihuje společnosti, které využívají Microsoft Exchange On-premise, ale i Hybrid Office365 (Microsoft Office + část On-premise). Společnost Microsoft vydala na výše zmíněné zranitelnosti záplaty a doporučila jejich okamžitou instalaci. Záplaty budou obsaženy i v nadcházejícím Exchange 2019 CU9 a Exchange 2016 CU20.
Profesionální a sofistikovaný útok na společnosti po celém světě
Podle odhadů útoky zasáhly 60 tisíc společností po celém světě, při čemž nejvíce cílily na instituce a společnosti v Americe. Nevyhnuly se ale ani Evropě. Útok postihl i řadu českých společností, hrozbu na svém Twitteru potvrdil pražský primátor Zdeněk Hřib. Dalším z potvrzených cílů bylo ministerstvo práce a sociálních věcí.
Ředitel bezpečnosti státní agentury NAKIT (Národní agentura pro komunikační a informační technologie) v rozhovoru k Hafnium útokům upozornil, že hackeři dobře ví, co dělají, a nejde zatím o nějaký automatický plošný útok.
Co znamená Hafnium?
Hafnium je název, který Microsoft používá k označení konkrétní skupiny zločinců, kteří údajně operují z Číny prostřednictvím cloudových služeb v USA. Podle společnosti Microsoft se tato skupina primárně zajímá o infiltraci z řady průmyslových odvětví, včetně výzkumných pracovníků v oblasti infekčních nemocí, právnických firem, vysokých škol, dodavatelů obrany, politických dat a nevládních organizací.
Nyní je Hafnium gang spojován s útoky, které využily zranitelnosti v Microsoft Exchange. Tyto zeroday zranitelnosti lze mimo jiné použít k získání přístupu do systémů Exchange a k implantaci malwaru do systémů Exchange, což podvodníkům poskytne vstupní cestu bez potřeby přihlašovacích údajů. Chyby představují útočníkům řadu různých mezer, včetně způsobů, jak mohou kyberzločinci:
- poskytnout ověřený přístup k serveru Exchange bez nutnosti hesla,
- upgradovat přístupová oprávnění k účtu,
- zapisovat soubory na libovolná místa na serveru.
Oficiální vyjádření federální agentury Cybersecurity and Infrastructure Security Agency (CISA):
Společnost Microsoft vydala bezpečnostní aktualizace pro řešení slabých míst ovlivňujících Microsoft Exchange Server 2013, 2016 a 2019, kde vzdálený útočník může zneužít tři zranitelná místa vzdáleného spuštění kódu - CVE-2021-26857, CVE-2021-26858 a CVE- 2021-27065 pro převzetí kontroly nad ovlivněným systémem; a zneužít chybu zabezpečení - CVE-2021-26855 - k získání přístup k citlivým informacím. Tyto chyby zabezpečení jsou nyní již aktivně využívány.
CISA také vydala nouzovou směrnici, která vyzvala organizace, aby opravovaly místní Exchange servery a prohledávaly v jejich sítích indikátory útoku.
Další podrobnosti o HAFNIUM a rady, jak byste měli reagovat, najdete v tomto videu od Mat Gangwera, vedoucího týmu Sophos Managed Threat Response (MTR).
Vznik nové globální kyber hrozby
Po prvních provedených útocích skupinou Hafnium začali útočit skrze objevené zranitelnosti i další hackerské skupiny. Jeden z těchto typů útoků instaluje novou variantu ransomwaru s názvem DEARCRY.
Je důležité si uvědomit, že oprava pouze chrání vaši společnost před zneužitím zranitelností do budoucna. Nezaručuje, že protivník již zranitelnosti nevyužil. Ostatní aktéři hrozeb nyní využívají Hafnium k provádění řady útoků, včetně šíření ransomware.
Znepokojuje vás Hafnium?
- Kontaktujte nás a ověřte, že ve vašem prostředí byla identifikována a neutralizována veškerá potenciální nepřátelská aktivita.
- Přečtěte si náš článek s tipy, jak zjistit, zda nebyla vaše bezpečnost ohrožena.
- Zúčastněte se našeho webináře: Hafnium – průvodce novou kybernetickou hrozbou.
