Η hacking ομάδα Hafnium κατάφερε να παραβιάσει εκατοντάδες χιλιάδες εγκαταστάσεις Exchange παγκοσμίως. Αυτή τη στιγμή διατίθεται μια ενημέρωση για να κλείσετε τα κενά ασφαλείας, αλλά μπορεί να είναι πολύ αργά.
Ωστόσο, η Microsoft διέθεσε και ορισμένα εργαλεία για να ελέγξετε τις εγκαταστάσεις του Exchange για σημάδια παραβίασης.
Φαίνεται ότι μετά την επίθεση της SolarWinds από Ρώσους, αποκαλύφθηκε η επόμενη μεγάλη καταστροφή. Οι hackers της Κινέζικης ομάδας Hafnium, χρησιμοποίησαν ευπάθειες σε διακομιστές Exchange. Η ευπάθειες δεν έκλεισαν με τις ενημερώσεις ασφαλείας μέχρι τις 2 Μαρτίου του 2021.
Ο στόχος των επιτιθέμενων ήταν να αποκτήσουν τον έλεγχο των email των θυμάτων και ενδεχομένως να έχουν πρόσβαση και να διεισδύσουν στην υποδομή του δικτύου τους μέσω αδειών του Active Directory.
Σε μία δημοσίευση η εταιρεία ασφαλείας Rapid7 αναφέρει ότι υπάρχουν τουλάχιστον 170.000 παραβιασμένοι διακομιστές Exchange. Το άρθρο παρέχει διευθύνσεις IP που σαρώνουν το Διαδίκτυο αλλά και μια ανάλυση για το πώς μπορεί κάποιος να εντοπίσει μια λοίμωξη. Περισσότερες πληροφορίες και ανάλυση παρέχονται σε αυτό το άρθρο της Microsoft, καθώς και σε αυτή την US-CERT προειδοποίηση.
Η Microsoft κυκλοφόρησε ένα PowerShell script (Test-Hafnium), με το όνομα Test-ProxyLogon.ps1, για να σας βοηθήσει να εντοπίσετε τα τρωτά σημεία. Το script και επιπρόσθετες σημειώσεις βρίσκονται στο GitHub.
Η CERT Latvia δημοσίευσε επίσης ένα script στο GitHub που μπορεί να χρησιμοποιηθεί για να ελέγξει εάν ένας διακομιστής Exchange περιέχει κάποιο webshell.