Microsoft je trenutno suočen s ozbiljnom sigurnosnom prijetnjom koja utječe na jedan od njegovih najpopularnijih servisa – Exchange. Softverski div uputio je apel prema svojim korisnicima da odmah instaliraju sigurnosne zakrpe kako bi se zaštitili od grupe visokosofisticiranih hakera koji aktivno pokušavaju iskoristiti Zero-day ranjivost Exchange Servera.
(Zero-day ranjivost je sigurnosni propust u softveru, npr. u browseru, aplikaciji ili operativnom sustavu koji je još uvijek nepoznat proizvođaču tog softvera ili proizvođačima antivirusa.)
Ovaj napad je aktivna prijetnja. Svi koji se koriste Microsofovim serverima, počevši od vlada i obrazovnih ustanova do privatnog sektora – moraju biti na oprezu.
Microsoft je stoga poslao apel svim organizacijama koje koriste Exchange e-mail servere da odmah instaliraju najnovije zakrpe. Ranjivosti jednog od Microsoftovih najpopularnijih servisa iskorištene su od strane visokosofisticirane grupe cyber kriminalaca.
Tko su napadači na Microsoft Exchange server i koji im je cilj
Microsoft je u početku vjerovao da su cyber napadači povezani s Kineskom vladom, koja niječe svaku povezanost. U ovom trenutku se vjeruje da je Hafnium grupa jedina koja ima znanje i kapacitete kreirati ovakav visokosofisticirani napad.
(Hafnium grupa je grupa cyberkriminalaca koja primarno cilja određena tijela i ciljeve u SAD-u kako bi ukrao informacije iz brojnih industrija – od istraživanja o zaraznim bolestima pa do političkih grupa.)
U ovom trenutku Microsoft još nije indentificirao potencijalne mete.
Što se dogodilo i kako na to reagirati
Odnedavno detektiran je povećani broj napada putem Remote Code Execution-a (RCE). Napadači iskorištavaju ranjivosti Microsoft Exchange Servera kako bi dobili pristup svim registriranim e-mail računima ili kako bi daljinski pokrenuli maliciozni kod.
Najvjerojatnije, ovo je samo početak još veće maliciozne kampanje koja će kulminirati pokušajima infiltracije u interne sustave, krađama osjetljivih podataka ili širenjem ransomware-a.
Upravo radi toga, važno je da ažurirate Microsoft Exchange Server što prije. Pažljivo pratite vanjski promet kako biste lakše otkrili i spriječili hakere u najkraćem mogućem roku. Ne smijete zaboraviti ni redoviti backup svojih podataka kako ne biste iskusili veće štete prouzrokovane ovim napadima.
Na koji način se odvijao napad na Exchange Server?
Napadači su vjerojatno iskoristili vrlo ozbiljnu ranjivost poznatu kao CVE-2021-26857. Radi se o bugu u popularnom Microsoftovom Exchange e-mail serveru prouzrokovanim nedovoljnom kontrolom podataka zaprimljenih s Exchange strane.
Kao rezultat, moguće je poslati posebno oblikovani paket podatka prema serveru koji sadrži maliciozni kod koji će se u serveru pokrenuti. Drugim riječima, koristili su ranjivost daljinskog pokretanja koda.
Napad na server može biti popraćen njegovim potpunim uništenjem, instalacijom programa za iznudu (ransomware), krađom e-mail adresa i e-mail poruka. S obzirom na to da je Exchange Server srce e-mail komunikacije unutar tvrtke, bilo kakav poremećaj funkcioniranja vodit će gubitku tvrtkinog intelektualnog vlasništva.
Napominjemo da je ovaj napad uglavnom usmjeren na korporacije i javne institucije. Privatni korisnici najčešće nisu korisnici Microsoft Exchange servera i nisu ugroženi ovim napadima.
Informatička podrška i IT sigurnost
Kad je riječ o cyber sigurnosti, teško je dovoljno naglasiti važnost zaštite servera. Na dnevnoj bazi, događaju se milijuni cyber napada. Od onih jednostavnijih poput krađa pristupnih lozinki do sofisticiranih proboja u sustave velikih organizacija i tvrtki, cyber napadi su postali svakodnevna pojava.
Niti jedan od tih napada nije bezazlen. Svaki može rezultirati nemjerljivom financijskom i dugoročnom štetom kad je riječ o povjerenju klijenata.
Na dnevnoj bazi koriste se milijuni varijanti različitih zlonamjernih softvera. Kako biste osigurali pravovremenu zaštitu od cyber-napada i osigurali da sva vaša IT oprema funkcionira besprijekorno, obratite nam se s povjerenjem.