Počet útoků využívající zranitelná místa Microsoft Exchange Server roste

Začátkem března došlo k mimořádnému zneužití několika zranitelných míst spojených se Zero-Day na Microsoft Exchange Serveru. Útočníci spustili kód v rámci Exchange Serveru, díky němuž získali plný přístup k e-mailovým účtům na serveru. Společnost Microsoft již vydala opravu, ale analytici společnosti Kaspersky zaznamenali další nárůst útoků - zejména u organizací v Evropě a USA, které cílily na zneužití této chyby. V České republice byly napadeny servery Magistrátu hlavního města Prahy a Ministerstva práce a sociálních věcí.

Od začátku března 2021 společnost Kaspersky detekovala podobné útoky na více než 1 200 uživatelů, přičemž tento počet neustále rostl. Největší počet (26,93 %) cílených uživatelů byl v Německu. Mezi další země, které byly zasaženy nejvíce, patří Itálie, Rakousko a Švýcarsko a USA.

Země	% uživatelů
Německo	26,93%
Itálie	9,00%
Rakousko	5,72%
Švýcarsko	4,81%
USA	4,73%

Tabulka: Podíl uživatelů napadených v souvislosti s chybami v zabezpečení Microsoft Exchange Server podle měření Kaspersky, březen 2021

“Očekávali jsme, že pokusy o zneužití těchto zranitelných míst rychle porostou, zatím jsme podobný typ útoků detekovali ve více než stovce zemí, v podstatě po celém světě. S ohledem na typ těchto zranitelných míst je stále ohrožena řada organizací. I když počáteční útoky mohly být cílené, neexistuje důvod, aby se útočníci nezkoušeli zaměřit náhodně na jakoukoli organizaci, která provozuje tento server. Jejich akce jsou spojeny s vysokým rizikem krádeže dat nebo dokonce ransomwarem, a proto je třeba přijmout ochranná opatření co nejdříve,“ komentuje situaci Anton Ivanov, viceprezident pro výzkum hrozeb ve společnosti Kaspersky.

Produkty Kaspersky detekují hrozbu a chrání před nedávno objevenými zranitelnými místy serveru Microsoft Exchange Server pomocí různých technologií, včetně modulů Behavior Detection a Exploit Prevention. Společnost Kaspersky spojuje útoky a související následky s těmito soubory:

Exploit.Win32.CVE-2021-26857.gen
HEUR:Exploit.Win32.CVE-2021-26857.a
HEUR:Trojan.ASP.Webshell.gen
HEUR:Backdoor.ASP.WebShell.gen
UDS:DangerousObject.Multi.Generic
PDM:Exploit.Win32.Generic

O útocích využívajících chyby zabezpečení Microsoft Exchange Server lze nalézt více informací na Securelist.com.

K ochraně před útoky využívajícími výše uvedenou chybu zabezpečení společnost Kaspersky doporučuje následující:

Co nejdříve aktualizujte Microsoft Exchange Server.
Zaměřte obrannou strategii na detekci pohybů dat v rámci sítě. Věnujte zvláštní pozornost odchozímu provozu, abyste odhalili případnou nekalou aktivitu. Pravidelně zálohujte data. Ujistěte se, že k nim máte v případě nouze rychlý přístup.
Použijte řešení typu Kaspersky Endpoint Detection and Response a služby jako Kaspersky Managed Detection and Response, které pomáhají identifikovat a zastavit útok v raných fázích útoku.
Použijte spolehlivé řešení zabezpečení koncových bodů, například Kaspersky Endpoint Security for Business, které se zaměřuje na prevenci zneužití, analýzu chování a obsahuje nápravný modul, který je schopen zvrátit škodlivé aktivity. KESB má také mechanismy vlastní obrany, které mohou zabránit jeho zablokování kybernetickými zločinci.

Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která byla založena v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a uživatelů po celém světě. Komplexní portfolio zabezpečení, jež tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání více než 400 milionů uživatelů a pro 250 000 firemních klientů přinášíme ochranu všeho, co je pro ně v digitální oblasti nejcennější.