Eset: Na aktuální zranitelnost poštovních serverů se zaměřily hackerské skupiny

Analytici objevili škodlivé programy, které umožní na dálku ovládat server, na více než 5 000 serverech. Jen v ČR Eset eviduje bezmála tři tisícovky potenciálně zranitelných serverů Microsoft Exchange.

Eset: Na aktuální zranitelnost poštovních serverů se zaměřily hackerské skupiny



Společnost Eset upozorňuje, že více než deset hackerských skupin zneužívá zranitelnosti poštovních serverů Microsoft Exchage ke kompromitaci serverů. Kyberbezpečnostní firma po celém světě odhalila přes 5 000 napadených e-mailových serverů, přičemž potenciálně zranitelných jich je mnohem více.

Microsoft vydal na začátku března bezpečnostní záplaty pro poštovní servery Exchange Server 2013, 2016 a 2019 opravující zranitelnosti typu pre-autentizačního vzdáleného spuštění kódu (RCE).

Tato technika podle analytiků umožňuje útočníkovi převzít kontrolu nad jakýmkoliv zranitelným serverem Exchange publikovaným své OWA rozhraní do internetu, aniž by bylo nutné znát platné přihlašovací údaje.

Den po vydání opravy, jsme zaznamenali, jak řada útočníků skenuje a kompromituje zranitelné servery Exchange. Zajímavostí je, že kromě známých e-špionážních APT skupin prováděla tuto činnost i jedna, která se zaměřuje primárně na aktivity spojené s těžbou kryptoměn,“ popisuje Michal Dvořák z Esetu.

Jen v České republice vidíme téměř 3 000 serverů Microsoft Exchange, které jsou otevřené do internetu, a kterým tak hrozilo bez aplikace bezpečnostních záplat bezprostřední riziko zneužití této zranitelnosti,“ dodává.

S aktualizací není radno otálet

Eset v této souvislosti identifikoval více než deset různých útočných skupin, které pravděpodobně využily nedávné chyby zabezpečení Microsoft Exchange k instalaci malwaru na e-mailové servery obětí. V některých případech se několik skupin zaměřovalo na stejnou oběť.

Podle kyberbezpečnostní společnosti je zásadní, aby firmy nainstalovaly na své servery příslušné aktualizace co nejdříve. Aktualizaci by dle Esetu měly mít i ty servery, které do internetu vystavené přímo nejsou.

Pokud už ke kompromitaci došlo, měli by administrátoři malware odstranit, změnit přístupové údaje a prověřit, zda na serveru nedošlo k dalším aktivitám útočníků,“ radí Dvořák.

Incidenty jako tento jsou dobrou připomínkou, že komplexní aplikace, jako je Microsoft Exchange nebo SharePoint, by neměly být, pokud existuje jiná alternativa, vystaveny přímo do internetu,“ uzavírá.

Zdroj: Eset








Úvodní foto: © vege - Fotolia.com

Komentáře