Krebs: Eddig legkevesebb 30 ezer amerikai szervezetet törtek meg a legfrissebb on-prem Exchange hibán keresztül

Brian Krebs blogjában arról ír, hogy legkevesebb 30 ezer (és ez óvatos becslés) amerikai szervezetet törtek meg eddig a legfrissebb Microsoft Exchange sebezhetőségeken keresztül:

At least 30,000 organizations across the United States — including a significant number of small businesses, towns, cities and local governments — have over the past few days been hacked by an unusually aggressive Chinese cyber espionage unit that’s focused on stealing email from victim organizations, multiple sources tell KrebsOnSecurity. The espionage group is exploiting four newly-discovered flaws in Microsoft Exchange Server email software, and has seeded hundreds of thousands of victim organizations worldwide with tools that give the attackers total, remote control over affected systems.

 On March 2, Microsoft released emergency security updates to plug four security holes in Exchange Server versions 2013 through 2019 that hackers were actively using to siphon email communications from Internet-facing systems running Exchange.

In the three days since then, security experts say the same Chinese cyber espionage group has dramatically stepped up attacks on any vulnerable, unpatched Exchange servers worldwide.

Részletek itt.

Hozzászólások

Ez mind-mind legbiztonságosabb on-premise Echange szerver volt! :D

trey @ gépház

Az egészben az a legjobb, hogy mikor megtörik, mindenki szop miatta. Tanulság: dobni kell ezeket a linuxos hobbista rendszereket, meg Exim, Postfix, és hasonló amatőrségeket, és átállni minél több cégnek, szervezetnek MS-ökoszisztémára. Biztonságos, sztenderd, minden fut rajta, az összes vírus, sec hack. Aztán ha gond van, mindenkinek egyszerre reszeltek, egész iparágak állnak le. Nehogy itt több lábon állás legyen, vagy ilyesmi, mert az csak ártana az egészségnek. Egy kivétel engedhető meg, venni kell helyette Macet, mert az minden szempontból jobb.

“I didn’t start using Linux so I could have friends.” (Luke Smith, 2019) 🐧

En, amikor meg exchange-dzsel szivtam (erre nincs jobb szo), mindig eletettem egy harakat.

Kb. mint ahogy egy weboldal ele is eletesz az ember egy nginx-et.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Jól értem, hogy ha nem volt bekapcsolva az OWA, akkor nem is volt támadható?

Nagy Péter

Ezt nem tudom még de ennyit írnak : "untrusted connection to Exchange server port 443" ez nekem úgy jön le, hogy ssl nélküli elérés kellett a port share-t végző 443-as servicenek. 

A másik érdekesség hogy január 6-án értékelték az első ezen keresztüli támadást... Ami már 2 hónapja volt. Esélyes, hogy hamarosan sok érdekes dolog fog kiderülni. 

Amúgy lehet owa, mapi de imap vagy smtp nem. Igazából már minden 443, mert a faszbook is azon megy és ha az nem megy akkor rip, minek a net? 

Ez annyiban jó hír nekem, hogy én az OWA-t még novemberben lelőttem, ahogyan kifelé minden más elérhetőségét is. Csak belső hálózatra hagytam IMAP-ot/SMTP-t, és ahhoz lőttem be egy roundcube felültetet egy linux szerverről, azt publikáltam ki. 

Nagy Péter

A hír fényében vizsgáljuk meg a Microsoft előzetes kárenyhítését:

Today we are releasing several security updates for Microsoft Exchange Server to address vulnerabilities that have been used in limited targeted attacks.

Mi lenne itt, ha nem limited lenne?!

trey @ gépház

Valamiért nekem ezekről az Exchange-használókról a "vadász, vadász..." kezdetű vicc jut az eszembe, és nem először.