System administrator Benjamin Fischer checks a server in the new computer center of Deutsche Telekom AG in Biere, Germany, 01 July 2014. The subsidiary T-Systems will open the largest computing center in Germany on 03 July 2014 with an area of 150,000 square meters. There will be 30,000 servers here and 100 employees. Together with the center in Magdeburg, the "TwinCore" allows for applications and client data to be handled in parallel at two locations for security reasons. T-Systems wants to satisfy the high demand for cloud service by companies with the facility. Photo: JENS WOLF/dpa
Vágólapra másolva!
A Microsoft Exchange levelezőszerver sérülékenységét használták ki a támadók.
Újabb gigantikus botrány tört ki a Microsoft háza táján, a Krebs on Security és a Wired beszámolói alapján az ellátóláncbeli SolarWinds-en keresztüli kivitelezett gigatámadást követően most több tízezer, globálisan akár harmincezernél is több vállalat, kormányszerv és egyéb szervezet levelezéséhez férhettek hozzá illetéktelenek. Az akció januárban kezdődött, de csak február végén kapcsolt a legnagyobb sebességi fokozatba.
A kép csak illusztráció Forrás: dpa Picture-Alliance/AFP/Jens Wolf
A támadók a saját szerveren futtatott Exchange 2013 / 2016 / 2019 levelezőkiszolgálók egy nulladik napi sebezhetőségét használták ki, a hibát a februári hibajavító kedden foltozta be a Microsoft, azaz a naprakész szoftverű kiszolgálók már nincsenek veszélyben.
A sérülékenység kihasználásával a támadók hátsó kaput telepítettek a feltört szerverekre, így távolról be tudtak rájuk jelentkezni, ráadásul adminisztratív jogosultságú felhasználóként. A sebezhető kiszolgálók megkeresését és hackelését automatizált módon végezték, de nem világos, hogy közülük ténylegesen mennyibe léptek be, hogy adatok lopjanak ki róluk.
This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm
A biztonsági kutatók szerint a januárban indult támadás mögött a kínai „Hafnium" áll, a feltételezések szerint államilag szponzorált hackerekről beszélünk. A csoport nem ismeretlen, már számos célzott támadást indított például fertőző betegségekkel foglalkozó kutatók, jogi vállalkozások, felsőoktatási intézmények, védelmi beszállítók, nem állami szervezetek és politikai agytrösztök levelezőszerverei ellen. Viszont a korábbi betörések során csendesen dolgozott, a lehető legtovább próbálta odázni a behatolásának felismerését.
Még nem volt rá példa, hogy ágyúval lőjön a verébre, válogatás nélkül hackeljen minden hackelhetőt.
Az Exchange-szervereket üzemeltető rendszergazdák a leggyorsabban elvileg úgy ismerhetik fel az áldozattá válást, ha található nyolc karakteres fájlnevű ASPX-állomány a levelezőszervereik C:\\inetpub\wwwroot\aspnet_client\system_web\ mappájában.
Iratkozzon fel hírlevelünkre 
