Хакеры из Китая атакуют локальные версии Microsoft Exchange Server
Корпорация Microsoft издала предупреждение о новой, спонсируемой государством, группе китайских хакеров, атакующих онпремисные версии Microsoft Exchange Server, используя множество недавно выявленных уязвимостей.
Группа, которой в Центре анализа угроз Microsoft дали название Hafnium, по данным экспертов, объединяет специалистов высокой квалификации и специализируется на краже информации у организаций в США: университетов, оборонных подрядчиков, юридических фирм и эпидемиологических лабораторий.
Эксплуатация группой Hafnium ранее неизвестных уязвимостей была обнаружена исследователями из фирмы Volexity в начале января. Выявленные ошибки «нулевого дня» включают подделку запросов на стороне сервера, небезопасную десериализацию в единой службе обмена сообщениями (UMS) и две уязвимости записи произвольных файлов после аутентификации.
Используя их, хакеры Hafnium обманом получали доступ к целевым серверы Exchange, после чего, с помощью созданной веб-оболочки, удаленно управляли скомпрометированными машинами для кражи данных из сети организации.
«Несмотря на то, что мы оперативно подготовили обновление для эксплойтов Hafnium, известно, что многие национальные агенты и просто преступные группировки будут действовать быстро, стремясь взять под контроль любые незащищённые системы, — написал в блоге Том Барт (Tom Burt), корпоративный вице-президент Microsoft по безопасности клиентов и доверию. — Своевременное применение сегодняшних патчей, это лучшая защита от данной атаки».
То, что Microsoft решила выпустить этот патч, не дожидаясь планового кумулятивного апдейта, выходящего в следующую среду, по мнению Сатнама Наранга (Satnam Narang) из фирмы кибербезопасности Tenable, свидетельствует о серьёзности проблемы. «Мы ожидаем, что другие злоумышленники начнут эксплуатировать эти уязвимости в ближайшие дни и недели, поэтому для организаций, использующих Exchange Server, критически важно немедленно установить эти исправления», — сказал он.
Источник: ko.com.ua