Podążając śladami hakerów hafnu, pierwsze grupy szkodliwego oprogramowania wykorzystują teraz niedawno odkryte luki w Microsoft Exchange.

2 marca firma Microsoft wydała aktualizacje zabezpieczeń dla programu Exchange Server, które usuwają kilka krytycznych luk w zabezpieczeniach. Luki 0-dniowe są wykorzystywane do ataków od stycznia. Microsoft obwinia za to chińską grupę hakerów o nazwie Hafnium. Inni przestępcy internetowi atakują teraz również podatne na ataki serwery Exchange, głównie losowo. Przemycają oprogramowanie ransomware DearCry, aby wyłudzić okup. Microsoft nosi wykryte złośliwe oprogramowanie pod nazwą „Ransom: Win32 / DoejoCrypt.A”, podczas gdy brytyjska firma zajmująca się bezpieczeństwem Sophos rozpoznaje je jako „Troj / Ransom-GFE”. Osoby atakujące wykorzystują te same luki Exchange, znane jako luki „ProxyLogon”, co grupa Hafnium. Pierwsza fala ataków hakerów hafnu nadal była skierowana głównie na cele w USA. Gdy tylko aktualizacje Microsoftu były dostępne, zostały one przeanalizowane przez inne grupy sprawców w celu napisania działających exploitów. Powstałe ataki były następnie wymierzone w instytucje w Europie, takie jak Europejski Urząd Nadzoru Bankowego (EBA). Nieco nowsze ataki ransomware można teraz zaobserwować na całym świecie. ➤ Najnowsze aktualizacje zabezpieczeń

Według Sophos, DearCry, podobnie jak WannaCry w tamtym czasie, jest rodzajem oprogramowania ransomware, które przechowuje zaszyfrowane kopie zaatakowanych plików, a następnie usuwa oryginalne pliki. Ponieważ zaszyfrowane pliki znajdują się w innym miejscu na nośniku danych niż oryginały, istnieje przynajmniej pewna szansa na zapisanie niezaszyfrowanych danych, o ile nie zostały one nadpisane. Niektóre inne oprogramowanie ransomware nadpisuje oryginalne pliki zaszyfrowanymi kopiami. Szyfrowanie używane przez DearCry opiera się na parze kluczy publicznych i prywatnych. Klucz publiczny jest używany do szyfrowania i jest częścią kodu ransomware, dzięki czemu złośliwe oprogramowanie nie musi kontaktować się ze statkiem macierzystym (serwerem C&C). Serwery Exchange zwykle zezwalają tylko usługom Exchange na dostęp do Internetu. Tajny klucz prywatny jest w posiadaniu sprawcy. Bez tego pliki nie mogą zostać odszyfrowane. W zeszłym tygodniu firma Microsoft wydała również bezpośrednie aktualizacje zabezpieczeń dla wersji programu Exchange, które nie są już obsługiwane jako takie. Ma to wpływ na długo nieaktualne aktualizacje zbiorcze (CU) dla Exchange Server 2013, 2016 i 2019. Dzięki temu administratorzy nie muszą instalować bieżącej aktualizacji zbiorczej, zanim będą mogli zainstalować poprawki chroniące przed lukami ProxyLogon. To wcale nie jest trywialne. Jednak te aktualizacje naprawiają tylko cztery luki w programie Exchange (CVE-2021-27065, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858), które zostały wykorzystane w atakach.