Национальный координационный центр кибербезопасности при Совете национальной безопасности и обороны Украины предупреждает об активной эксплуатации хакерами уязвимостей в распространенном программном продукте Microsoft Exchange. Он предназначен для обмена сообщениями и совместной работы.
В СНБО сообщили, что злоумышленники в случае успешной эксплуатации уязвимостей могут получить полный доступ к скомпрометированному серверу, включая доступ к файлам, электронной почте и учетным записям, передает ЛБ.
“Кроме того, успешная эксплуатация уязвимостей позволяет получить несанкционированный доступ к ресурсам внутренней сети организации”, – говорится в сообщении.
Уязвимыми являются локальные версии Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019. Информация об уязвимостях в облачных версиях Microsoft 365, Exchange Online, Azure Cloud отсутствует.
В СНБО добавили, что наиболее активно уязвимости использует китайская кибершпионская группировка Hafnium, но сейчас уже подтверждена активность других хакерских групп, среди которых Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic, Winnti Group (BARIUM, APT41), Tonto Team (CactusPete), ShadowPad, Mikroceen, DLTMiner. Также подтверждены факты инфицирования уязвимых систем программами-вымогателями, в частности, новых семейств DearCry, DoejoCrypt. Сумма выкупа, которую требовали преступники в одном из подтвержденных случаев, составила более 16 тысяч долларов.
В Украине уже зафиксировали несколько случаев, когда благодаря уязвимости в Microsoft Exchange рассылали вредоносное программное обеспечение для дальнейшего инфицирования максимального количества организаций.
СНБО советует обновить уязвимые версии, но сделать это из командной строки от имени пользователя с правами администратора, после установки необходимо перезагрузить сервер. После завершения процесса обновления необходимо провести повторную проверку возможности эксплуатации уязвимости.
