Společnost Eset na základě aktuálních zjištění upozorňuje, že zranitelnost ProxyShell v e-mailových serverech Microsoft Exchange zneužívá stále více útočných skupin po celém světě.
Podle údajů Esetu využívají řetězec zranitelností ProxyShell v MS Exchange APT skupiny TA410, TA428, SparklingGoblin, RedFoxtrot a jeden dosud neidentifikovaný aktér.
APT neboli Advanced Persistent Threat je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.
Uvedené skupiny se dle expertů primárně zaměřují na různé geografické oblasti s převahou cílů v Asii. Podle posledních zjištění patří jejich oběti konkrétně do podnikatelského sektoru, státní i akademické sféry v Maďarsku, Pákistánu, USA, Honkongu či Japonsku.
Zranitelná je vrstva CAS
Eset upřesňuje, že zranitelnost označovaná jako ProxyShell navazuje na již dříve odhalenou zranitelnost ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem roku 2021.
„Obě zranitelnosti souvisí se službou Microsoft Exchange, v případě novější objevené zranitelnosti ProxyShell útočníci zneužívají chybu ve vrstvě Client Access Service (CAS),“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky Esetu.
Tu přitom Microsoft původně přidal k lepší ochraně e-mailových serverů. Podle Dvořáka je v obou případech znepokojující to, že zranitelnosti umožňují vzdálené spouštění kódu bez přístupových údajů k serveru.
Celosvětové rozšíření MS Exchange zvyšuje riziko útoku
Bezpečnostní společnost podotýká, že zločinecké APT skupiny v těchto případech zřejmě využily zranitelnost ProxyShell k instalaci kódu webshell na e-mailové servery obětí. Po zneužití zranitelnosti a nasazení webshellu se podle pozorování snažily na servery nainstalovat další škodlivý kód.
Telemetrická data Esetu poukazují na masové zneužívání zranitelnosti v celosvětovém měřítku, přičemž nejvyšší výskyt případů byl zaznamenán ve Spojených státech a Německu.
Zranitelnosti serveru MS Exchange se přitom dle expertů týkají také České republiky, kde se v minulosti již objevily případy jejich zneužití. Bezpečnostní specialisté v Česku nadále evidují několik stovek serverů bez záplat, které zůstávají potenciální hrozbou.
„Společnost Microsoft vydala na zranitelnost záplaty, takže by se mohlo zdát, že problém je vyřešen. Realita je však složitější. Po celém světě je stále mnoho serverů MS Exchange, které nebyly záplatovány nebo aktualizovány,“ popisuje Dvořák.
„MS Exchange je mimořádně rozšířený software, což zvyšuje pravděpodobnost, že se útočníkům podaří najít nějaký nezáplatovaný server a tuto zranitelnost využít ve svůj prospěch. Útočníci při takto závažné zranitelnosti mohou napáchat obrovské škody,“ uzavírá.
Zdroj: Eset
