Microsoft adresserede for nylig fire nul-dags sårbarheder i sin Exchange-e-mail-server. Fejlenes indvirkning er ret alarmerende, da Exchange-platformen er en af de mest populære inden for virksomhedsinfrastruktur.
Desuden, Microsoft mener, at manglerne blev aktivt udnyttet af en Kina-baseret trusselsgruppe kendt som Hafnium. Hacking-gruppen har søgt vedvarende adgang til e-mail-systemer, Microsoft siger. På trods af angrebene blev de beskrevet som begrænsede og målrettede, andre trusselsgrupper drager også fordel af nul-dagene. Angivelser af angreb går tilbage til begyndelsen af 2021.
Hafnium hackere målrettet mod forskellige institutioner
Det er værd at nævne, at dette er første gang Microsoft nævner Hafnium-hackere offentligt. Disse hackere har målrettet mod forskellige institutioner og eksperter, herunder advokatfirmaer, uddannelsesfaciliteter, nGO'er, sygdomsforskere.
Historisk, Hafnium retter sig primært mod enheder i USA med det formål at exfiltrere information fra en række brancher, herunder infektiøse sygdomsforskere, advokatfirmaer, videregående uddannelsesinstitutioner, forsvarsentreprenører, politiske tænketanke og ngo'er. Mens Hafnium er baseret i Kina, det udfører sine operationer primært fra lejede virtuelle private servere (VPS) i USA, siger Tom Burt, virksomheds vicepræsident for kundesikkerhed & Stol på Microsoft.
Microsoft har arbejdet hurtigt med at patchere Hafnium-udnyttelserne. Men, Det forventes, at andre nationalstatslige aktører og hackere drager fordel af ikke-patchede systemer. Anvendelse af programrettelserne så hurtigt som muligt minimerer risikoen for kompromiser relateret til børsen nul-dage.
Mere om de fire Exchange-mailserver nul-dage
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, og CVE-2021-27065
Sårbarhederne, der påvirker Microsoft Exchange Server, er CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, og CVE-2021-27065. Heldigvis, Exchange Online påvirkes ikke. Berørte versioner inkluderer Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, og Microsoft Exchange Server 2019.
Fejlene bruges som en del af en angrebskæde, Microsoft advarer. At blive igangsat med succes, et angreb kræver en upålidelig forbindelse til en bestemt Exchange-serverport, 443. Dette smuthul kan beskyttes ved at begrænse utroforbindelse, eller ved at oprette en VPN til at adskille serveren fra ekstern adgang. Men, disse afbødningstricks tilbyder kun delvis beskyttelse. Virksomheden advarer om, at andre dele af kædeangrebet kan udløses, hvis en angriber allerede har adgang eller kan overbevise en administrator om at køre en ondsindet fil.
Det er nysgerrig at nævne det i marts sidste år, statsstøttede hackegrupper udnyttede CVE-2020-0688, en anden sårbarhed i Microsoft Exchange-e-mail-servere. Derefter, i maj, Exchange-serveren blev angrebet af den såkaldte Valar Trojan. Malwareangrebet var primært rettet mod ofre i Tyskland og USA. Det blev vurderet som en avanceret trussel, der blev leveret til de sårbare systemer på en flertrinset måde.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: