Национальный координационный центр кибербезопасности при Совете национальной безопасности и обороны Украины предупреждает об активной эксплуатации уязвимостей в распространенном программном продукте Microsoft Exchange. В случае успешной эксплуатации уязвимостей атакующие имеют возможность выполнить произвольный код в уязвимых системах и получить полный доступ к скомпрометированному серверу, включая доступ к файлам, электронной почты, учетным записям и тому подобное. Кроме того, успешная эксплуатация уязвимостей позволяет получить несанкционированный доступ к ресурсам внутренней сети организации.
Уязвимыми являются локальные версии Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019. Информация о уязвимостей в облачных версиях Microsoft 365, Exchange Online, Azure Cloud отсутствует.
Сейчас активно эксплуатируются уязвимости CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (общее название - ProxyLogon), для уязвимостей CVE-2021-26412, CVE-2021-26854, CVE- 2021-27078 отсутствуют публично доступные эксплойты.
Наибольшую активность в эксплуатации уязвимых систем выявило китайская кибершпионская группировка Hafnium, но сейчас уже подтверждена активность других хакерских групп, среди которых Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic, Winnti Group (BARIUM, APT41), Tonto Team (CactusPete), ShadowPad, Mikroceen, DLTMiner.
Уязвимость эксплуатируется не только группами, за которыми стоят спецслужбы, но и киберпреступниками. Подтверждены факты инфицирования уязвимых систем программами-вымогателями, в частности, новых семейств DearCry, DoejoCrypt. Сумма выкупа, которую требовали преступники в одном из подтвержденных случаев, составила более 16 тыс. долларов.
Скомпрометированные серверы также используются для рассылок вредоносных программ для дальнейшего инфицирования максимального количества организаций. В Украине уже зафиксировано несколько таких инцидентов.
Следует отметить, что обычно после компрометации следующими фазами является разведка (сбор данных об информационных системах), а впоследствии - похищение информации. Это требует определенного времени, затем во многих случаях ценные данные шифруются или удаляются, и за них требуют выкуп. Такой механизм развития кибератак создает существенные угрозы потери данных в скомпрометированных организациях в ближайшее время - от недели до месяцев.
Подробнее на сайте СНБО Украины https://www.rnbo.gov.ua/ua/Diialnist/4844.html