Move over, SolarWinds: e-mail van 30.000 organisaties gehackt via Microsoft Exchange Server-fouten flaw
De aanval is aan de gang sinds januari
Vier exploits die zijn gevonden in de Exchange Server-software van Microsoft hebben er naar verluidt toe geleid dat meer dan 30.000 Amerikaanse overheids- en commerciële organisaties hun e-mails hebben gehackt, volgens het rapport.een verslag vanKrebsOnSecurity .Bedrade doet ook verslagtienduizenden e-mailservers gehackt. De exploits zijn gepatcht door Microsoft, maar beveiligingsexperts praten metkankerzeggen dat het opsporings- en opruimingsproces een enorme inspanning zal zijn voor de duizenden staats- en stadsregeringen, brandweer en politie, schooldistricten, financiële instellingen en andere organisaties die getroffen zijn.
Volgens Microsoft gaven de kwetsbaarheden hackers toegang tot e-mailaccounts en kregen ze ook de mogelijkheid om malware te installeren waardoor ze op een later tijdstip weer op die servers konden komen.
kankeren Bedrade melden dat de aanval is uitgevoerd door Hafnium, een Chinese hackgroep. Hoewel Microsoft niet heeft gesproken over de omvang van de aanval, is hetwijst ook naar dezelfde groepomdat ze de kwetsbaarheden hebben uitgebuit en zeggen dat ze er veel vertrouwen in hebben dat de groep door de staat wordt gesponsord.
VolgensKrebsOnSecurity, de aanval is aan de gang sinds 6 januari (de dag van de rellen), maar nam eind februari toe. Microsoft bracht zijn patches op 2 maart uit, wat betekent dat de aanvallers bijna twee maanden de tijd hadden om hun operaties uit te voeren. De president van cyberbeveiligingsbedrijf Volexity, die de aanval ontdekte, vertelde:kankerdat als u Exchange gebruikt en u dit nog niet hebt gepatcht, de kans zeer groot is dat uw organisatie al is gecompromitteerd.
Zowel de nationale veiligheidsadviseur van het Witte Huis, Jake Sullivan, en voormalig directeur van de Cybersecurity and Infrastructure Security Agency Chris Krebs (geen familie vanKrebsOnSecurity) hebben getweet over de ernst van het incident.
Dit is het echte werk. Als uw organisatie een OWA-server gebruikt die is blootgesteld aan internet, ga dan uit van een compromis tussen 26-02-03/03. Controleer op aspx-bestanden van 8 tekens in C:\inetpubwwwrootaspnet_clientsystem_web. Als u een treffer krijgt bij die zoekopdracht, bevindt u zich nu in de modus voor incidentrespons.https://t.co/865Q8cc1Rm
— Chris Krebs (@C_C_Krebs)5 maart 2021
Microsoftis uitgekomenverschillende beveiligingsupdates om de kwetsbaarheden te verhelpen, en stelt voor deze onmiddellijk te installeren. Het is vermeldenswaard dat, als uw organisatie Exchange Online gebruikt, deze niet is getroffen - de exploit was alleen aanwezig opzelf gehostservers met Exchange Server 2013, 2016 of 2019.
Hoewel een grootschalige aanval, waarschijnlijk uitgevoerd door een door de staat gerunde organisatie, bekend in de oren klinkt,Microsoft is duidelijkdat de aanvallen op geen enkele manier verband houden met de SolarWinds-aanvallen die vorig jaar Amerikaanse federale overheidsinstanties en bedrijven in gevaar brachten.
Het is waarschijnlijk dat er nog details over deze hack komen - tot nu toe is er geen officiële lijst van organisaties die zijn gecompromitteerd, alleen een vaag beeld van de grootschalige en hoge ernst van de aanval.
app voor pc
Een Microsoft-woordvoerder zei dat het bedrijfnauw samenwerken met de [Cybersecurity and Infrastructure Security Agency], andere overheidsinstanties en beveiligingsbedrijven, om ervoor te zorgen dat we onze klanten de best mogelijke begeleiding en beperking bieden,en dat [d]e beste bescherming is om updates zo snel mogelijk toe te passen op alle betrokken systemen.
