Количество попыток их использования увеличилось в 10 раз после их обнаружения
Check Point Research делится своими наблюдениями, как злоумышленники пытаются использовать эти уязвимости: Россия на пятом месте в мире среди наиболее часто атакованных стран
Ади Икан, руководитель отдела исследований сетевой кибербезопасности Check Point Software
Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point Software
Янив Балмас, руководитель отдела кибер-исследований Check Point Software
Саги Цадик, исследователь безопасности
- Исследователи зафиксировали сотни попыток использования этих уязвимостей по всему миру.
- Check Point Research отмечает, что количество попыток нападений увеличилось в десять раз –– с 700 случаев 11 марта до более 7200 случаев 15 марта.
- Чаще всего атаковали США (17% всех попыток использования уязвимостей), Германию (6%), Великобританию (5%), Нидерланды (5%) и Россию (4%).
- Больше всего попыток атак было на государственный/военный сектор (23% всех попыток использования уязвимостей), производство (15%), банковскую/финансовую отрасль (14%), вендоров защитного ПО (7%) и сектор здравоохранения (6%).
После того, как на серверах Microsoft Exchange обнаружили уязвимости, среди хакеров и ИБ-специалистов началась настоящая гонка. Злоумышленники работают над созданием эксплойтов, которые смогут успешно использовать уязвимости удаленного выполнения кода в Microsoft Exchange, а эксперты по информационной безопасности сосредоточены на разработке превентивных мер.
Уязвимости нулевого дня
3 марта 2021 года Microsoft выпустила экстренный патч для Exchange Server – самого популярного почтового сервера в мире. Практически все, к чему осуществляется доступ в Outlook, проходит через сервер Exchange: все входящие /исходящие письма, приглашения в календарях.
Orange Tsai, блог DEVCORE, ИБ-компании, расположенной на Тайване, сообщил о двух уязвимостях еще в январе. Еще не догадываясь о масштабе и последствиях этих открытий, Microsoft предложили продолжить исследовать Exchange. В ходе расследования эксперты обнаружили пять критических уязвимостей.
Они позволяют злоумышленнику читать электронные письма с сервера Exchange без аутентификации или доступа к учетной записи электронной почты пользователя. Дальнейшее использование уязвимостей может позволить злоумышленникам полностью захватить сам почтовый сервер.
Как только злоумышленник захватывает сервер Exchange, он может открыть сеть в Интернете и получить к ней удаленный доступ. Поскольку многие серверы Exchange используют Internet Exposer (в частности, Outlook Web Access) и интегрированы в более широкую сеть, это представляет серьезную угрозу для миллионов организаций.
Какие организации подвержены риску
Если сервер Microsoft Exchange, который использует ваша компания, подключен к сети, не обновлен до последних версий и не защищен сторонними решениями, таким как Check Point, то вы должны понимать, что он может быть полностью скомпрометирован. Взломанные серверы могут позволить злоумышленнику извлечь вашу корпоративную электронную почту и выполнить вредоносный код внутри вашей организации, обладая высокими привилегиями.