Китайские хакеры атакуют локальные версии Microsoft Exchange Server

Корпорация Microsoft издала предупреждение о новой, спонсируемой государством, группе китайских хакеров, атакующих онпремисные версии Microsoft Exchange Server, используя множество недавно выявленных уязвимостей.

Группа, которой в Центре анализа угроз Microsoft дали название Hafnium, по данным экспертов, объединяет специалистов высокой квалификации и специализируется на краже информации у организаций в США: университетов, оборонных подрядчиков, юридических фирм и эпидемиологических лабораторий.

Эксплуатация группой Hafnium ранее неизвестных уязвимостей была обнаружена исследователями из фирмы Volexity в начале января. Выявленные ошибки «нулевого дня» включают подделку запросов на стороне сервера, небезопасную десериализацию в единой службе обмена сообщениями (UMS) и две уязвимости записи произвольных файлов после аутентификации.

Используя их, хакеры Hafnium обманом получали доступ к целевым серверы Exchange, после чего, с помощью созданной веб-оболочки, удаленно управляли скомпрометированными машинами для кражи данных из сети организации.

«Несмотря на то, что мы оперативно подготовили обновление для эксплойтов Hafnium, известно, что многие национальные агенты и просто преступные группировки будут действовать быстро, стремясь взять под контроль любые незащищённые системы, — написал в блоге Том Барт (Tom Burt), корпоративный вице-президент Microsoft по безопасности клиентов и доверию. — Своевременное применение сегодняшних патчей, это лучшая защита от данной атаки».

То, что Microsoft решила выпустить этот патч, не дожидаясь планового кумулятивного апдейта, выходящего в следующую среду, по мнению Сатнама Наранга (Satnam Narang) из фирмы кибербезопасности Tenable, свидетельствует о серьёзности проблемы. «Мы ожидаем, что другие злоумышленники начнут эксплуатировать эти уязвимости в ближайшие дни и недели, поэтому для организаций, использующих Exchange Server, критически важно немедленно установить эти исправления», — сказал он.