Ένας πρώην υπάλληλος ασφαλείας της Microsoft προειδοποίησε ότι οι εγκληματίες στον κυβερνοχώρο εκμεταλλεύονται μαζικά τις ευπάθειες στους διακομιστές ηλεκτρονικού ταχυδρομείου του Microsoft Exchange, επειδή οι οργανισμοί δεν είχαν προειδοποιηθεί σωστά για το ποια συστήματα να επιδιορθώσουν.
Πολλοί οργανισμοί φαίνεται να μην έχουν διορθωθεί, πράγμα που οδήγησε σε μαζική εκμετάλλευση των ευπαθειών, προειδοποίησε ο Κέβιν Μπόμοντ, ο οποίος δημοσίευσε σχετικά στο ιστολόγιό του στο DoublePulsar.
Εκατοντάδες κυβερνητικά συστήματα των ΗΠΑ εκτίθενται, πρόσθεσε, ενώ το Υπουργείο Εσωτερικής Ασφάλειας για την Κυβερνοασφάλεια και την Υποδομή (CISA) εξέδωσε προειδοποίηση το Σάββατο.
Μεταξύ των χάκερ που εκμεταλλεύονται τα κενά, είναι μια ομάδα ransomware γνωστή ως LockFile, η οποία είχε εκμεταλλευτεί προβλήματα που διορθώθηκαν για πρώτη φορά από τη Microsoft τον Μάρτιο. Η LockFile έχει συνδεθεί με επιθέσεις ransomware σε διάφορους κλάδους, συμπεριλαμβανομένου των χρηματοπιστωτικών υπηρεσιών, του τουρισμού, σε όλο τον κόσμο, κυρίως στις ΗΠΑ και την Ασία, σύμφωνα με την εταιρεία ασφαλείας Symantec. Σύμφωνα με την doublePulsar πρωτοεμφανίστηκε στο δίκτυο ενός αμερικανικού χρηματοπιστωτικού οργανισμού στις 20 Ιουλίου.
Η προέλευση των επιθέσεων μπορεί να εντοπιστεί στις αδυναμίες που αποκαλύφθηκαν κατά τη διάρκεια ενός διαγωνισμού hacking φέτος και αναλύθηκαν πλήρως την περασμένη εβδομάδα από τον Orange Tsai. Βρήκε τρεις αδυναμίες στο Microsoft Exchange (για την εσωτερική έκδοση, όχι για το Office 365), οι οποίες, όταν συνδυάζονται, θα μπορούσαν να χρησιμοποιηθούν για τον απομακρυσμένο έλεγχο ενός διακομιστή email.
Ο Μπόμοντ (Beaumont) κυκλοφόρησε τώρα ένα εργαλείο που βοηθά στον εντοπισμό των μη προσαρμοσμένων συστημάτων. Έχει ήδη χρησιμοποιηθεί από την εθνική ομάδα αντιμετώπισης έκτακτης ανάγκης υπολογιστών στην Αυστρία για σάρωση σε ευάλωτους διακομιστές.
Η CISA είπε ότι “παροτρύνει έντονα τους οργανισμούς να εντοπίσουν ευπαθή συστήματα στα δίκτυά τους και να εφαρμόσουν αμέσως την Ενημέρωση Ασφαλείας της Microsoft από τον Μάιο του 2021, που διορθώνει και τα τρία τρωτά σημεία του ProxyShell, για την ασφάλειά τους από αυτές τις επιθέσεις”.
