Китайские хакеры атакуют локальные версии Microsoft Exchange Server
Корпорация Microsoft издала предупреждение о новой, спонсируемой государством, группе китайских хакеров, атакующих онпремисные версии Microsoft Exchange Server, используя множество недавно выявленных уязвимостей.
Группа, которой в Центре анализа угроз Microsoft дали название Hafnium, по данным экспертов, объединяет специалистов высокой квалификации и специализируется на краже информации у организаций в США: университетов, оборонных подрядчиков, юридических фирм и эпидемиологических лабораторий.
Эксплуатация группой Hafnium ранее неизвестных уязвимостей была обнаружена исследователями из фирмы Volexity в начале января. Выявленные ошибки "нулевого дня" включают подделку запросов на стороне сервера, небезопасную десериализацию в единой службе обмена сообщениями (UMS) и две уязвимости записи произвольных файлов после аутентификации.
Используя их, хакеры Hafnium обманом получали доступ к целевым серверы Exchange, после чего, с помощью созданной веб-оболочки, удаленно управляли скомпрометированными машинами для кражи данных из сети организации.
"Несмотря на то, что мы оперативно подготовили обновление для эксплойтов Hafnium, известно, что многие национальные агенты и просто преступные группировки будут действовать быстро, стремясь взять под контроль любые незащищенные системы, - написал в блоге Том Барт (Tom Burt), корпоративный вице-президент Microsoft по безопасности клиентов и доверию. - Своевременное применение сегодняшних патчей, это лучшая защита от данной атаки".
То, что Microsoft решила выпустить этот патч, не дожидаясь планового кумулятивного апдейта, выходящего в следующую среду, по мнению Сатнама Наранга (Satnam Narang) из фирмы кибербезопасности Tenable, свидетельствует о серьезности проблемы. "Мы ожидаем, что другие злоумышленники начнут эксплуатировать эти уязвимости в ближайшие дни и недели, поэтому для организаций, использующих Exchange Server, критически важно немедленно установить эти исправления", - сказал он.
