Zranitelnost serverů Microsoft Exchange opět zneužívají útočníci po celém světě včetně ČR

28. 2. 2022. (redaktor: František Doupal, zdroj: Eset)
Podle aktuálních zjištění bezpečnostních expertů zneužívá zranitelnost ProxyShell v e-mailových serverech Microsoft Exchange stále více útočných skupin po celém světě. ProxyShell je mladší obdobou zranitelnosti ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem loňského roku.

Podle posledních dat je nejvíce případů zneužití detekováno v USA a Německu. S ohledem na celosvětovou rozšířenost softwaru je riziko útoků stále vysoké i pro Českou republiku, kde bezpečnostní specialisté společnosti Eset aktuálně evidují několik stovek serverů, u kterých dosud neproběhly aktualizace a opravy.

Podle posledních telemetrických údajů společnosti Eset využívají řetězec zranitelností ProxyShell v MS Exchange APT skupiny TA410, TA428, SparklingGoblin, RedFoxtrot a jeden dosud neidentifikovaný aktér. APT neboli Advanced Persistent Threat je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.

Uvedené skupiny se primárně zaměřují na různé geografické oblasti s převahou cílů v Asii. Podle posledních zjištění patří jejich oběti konkrétně do podnikatelského sektoru, státní i akademické sféry v Maďarsku, Pákistánu, USA, Honkongu či Japonsku.

Zranitelnost označovaná jako ProxyShell navazuje na již dříve odhalenou zranitelnost ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem roku 2021.

„Obě zranitelnosti souvisí se službou Microsoft Exchange, v případě novější objevené zranitelnosti ProxyShell útočníci zneužívají chybu ve vrstvě Client Access Service (CAS), kterou Microsoft původně přidal k lepší ochraně e-mailových serverů. V obou případech je znepokojující to, že zranitelnosti umožňují vzdálené spouštění kódu bez přístupových údajů k serveru,“ vysvětlil Miroslav Dvořák, technický ředitel české pobočky společnosti Eset.

Celosvětové rozšíření MS Exchange zvyšuje riziko útoku

Zločinecké APT skupiny v těchto případech zřejmě využily zranitelnost ProxyShell k instalaci kódu webshell na e-mailové servery obětí. Po zneužití zranitelnosti a nasazení webshellu se podle pozorování snažily na servery nainstalovat další škodlivý kód. Telemetrická data poukazují na masové zneužívání zranitelnosti v celosvětovém měřítku, přičemž nejvyšší výskyt případů byl zaznamenán ve Spojených státech a Německu. Zranitelnosti serveru MS Exchange se přitom týkají také České republiky, kde se v minulosti již objevily případy jejich zneužití. Bezpečnostní specialisté v Česku nadále evidují několik stovek serverů bez záplat, které zůstávají potenciální hrozbou.

„Společnost Microsoft vydala na zranitelnost záplaty, takže by se mohlo zdát, že problém je vyřešený. Realita je však složitější. Po celém světě je stále mnoho serverů MS Exchange, které nebyly záplatovány nebo aktualizovány. MS Exchange je mimořádně rozšířený software, což zvyšuje pravděpodobnost, že se útočníkům podaří najít nějaký nezáplatovaný server a tuto zranitelnost využít ve svůj prospěch. Útočníci při takto závažné zranitelnosti mohou napáchat obrovské škody,“ doplnil Dvořák.

Štítky: 

Podobné články

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více