Zranitelnost serverů Microsoft Exchange opět zneužívají útočníci po celém světě včetně ČR

28. 2. 2022. (redaktor: František Doupal, zdroj: Eset)
Podle aktuálních zjištění bezpečnostních expertů zneužívá zranitelnost ProxyShell v e-mailových serverech Microsoft Exchange stále více útočných skupin po celém světě. ProxyShell je mladší obdobou zranitelnosti ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem loňského roku.

Podle posledních dat je nejvíce případů zneužití detekováno v USA a Německu. S ohledem na celosvětovou rozšířenost softwaru je riziko útoků stále vysoké i pro Českou republiku, kde bezpečnostní specialisté společnosti Eset aktuálně evidují několik stovek serverů, u kterých dosud neproběhly aktualizace a opravy.

Podle posledních telemetrických údajů společnosti Eset využívají řetězec zranitelností ProxyShell v MS Exchange APT skupiny TA410, TA428, SparklingGoblin, RedFoxtrot a jeden dosud neidentifikovaný aktér. APT neboli Advanced Persistent Threat je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.

Uvedené skupiny se primárně zaměřují na různé geografické oblasti s převahou cílů v Asii. Podle posledních zjištění patří jejich oběti konkrétně do podnikatelského sektoru, státní i akademické sféry v Maďarsku, Pákistánu, USA, Honkongu či Japonsku.

Zranitelnost označovaná jako ProxyShell navazuje na již dříve odhalenou zranitelnost ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem roku 2021.

„Obě zranitelnosti souvisí se službou Microsoft Exchange, v případě novější objevené zranitelnosti ProxyShell útočníci zneužívají chybu ve vrstvě Client Access Service (CAS), kterou Microsoft původně přidal k lepší ochraně e-mailových serverů. V obou případech je znepokojující to, že zranitelnosti umožňují vzdálené spouštění kódu bez přístupových údajů k serveru,“ vysvětlil Miroslav Dvořák, technický ředitel české pobočky společnosti Eset.

Celosvětové rozšíření MS Exchange zvyšuje riziko útoku

Zločinecké APT skupiny v těchto případech zřejmě využily zranitelnost ProxyShell k instalaci kódu webshell na e-mailové servery obětí. Po zneužití zranitelnosti a nasazení webshellu se podle pozorování snažily na servery nainstalovat další škodlivý kód. Telemetrická data poukazují na masové zneužívání zranitelnosti v celosvětovém měřítku, přičemž nejvyšší výskyt případů byl zaznamenán ve Spojených státech a Německu. Zranitelnosti serveru MS Exchange se přitom týkají také České republiky, kde se v minulosti již objevily případy jejich zneužití. Bezpečnostní specialisté v Česku nadále evidují několik stovek serverů bez záplat, které zůstávají potenciální hrozbou.

„Společnost Microsoft vydala na zranitelnost záplaty, takže by se mohlo zdát, že problém je vyřešený. Realita je však složitější. Po celém světě je stále mnoho serverů MS Exchange, které nebyly záplatovány nebo aktualizovány. MS Exchange je mimořádně rozšířený software, což zvyšuje pravděpodobnost, že se útočníkům podaří najít nějaký nezáplatovaný server a tuto zranitelnost využít ve svůj prospěch. Útočníci při takto závažné zranitelnosti mohou napáchat obrovské škody,“ doplnil Dvořák.

Štítky: 
Bezpečnost, Exchange, Eset
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Zyxel posiluje kybernetickou bezpečnost v souladu s požadavky směrnice NIS2

2. 5. 2024. (redaktor: František Doupal, zdroj: Zyxel)
Směrnice EU o bezpečnosti sítí a informačních systémů NIS1, která platí od roku 2016, přestala v důsledku rostoucí četnosti a složitosti kybernetických hrozeb vyhovovat nárokům dnešní doby. Její novela, která nabude účinnosti 18. října 2024, představuje příležitost k posílení kybernetické bezpečnosti. Čtěte více

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více