В понедельник, 15 марта, Национальный координационный центр при СНБО Украины предупредил об активной эксплуатации уязвимостей в распространенном программном продукте Microsoft Exchange. Об этом BAGNET узнал из сообщения пресс-службы СНБО.

В случае успешной эксплуатации уязвимостей у атакующих есть возможность выполнить произвольный код в уязвимых системах и получить полный доступ к скомпрометированному серверу, включая доступ к файлам, электронной почте, учетным записям. Успешная эксплуатация уязвимостей позволяет получить несанкционированный доступ к ресурсам внутренней сети организации.

Уязвимыми являются программные продукты:

• Microsoft Exchange Server 2010,
• Microsoft Exchange Server 2013,
• Microsoft Exchange Server 2016,
• Microsoft Exchange Server 2019.

В ведомстве заявили:

Сейчас активно эксплуатируются уязвимости CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (общее название - ProxyLogon), для уязвимостей CVE-2021-26412, CVE-2021-26854, CVE -2021-27078 отсутствуют публично доступные эксплойты.

В СНБО пояснили, что наибольшую активность в эксплуатации уязвимых систем проявила кибершпионская группировка Hafnium из Китая. Однако сейчас выявлена деятельность и других хакерских групп.

Подтверждены факты инфицирования уязвимых систем программами-вымогателями, в частности, новых семейств DearCry, DoejoCrypt. Сумма выкупа, которую требовали преступники в одном из подтвержденных случаев, составила более 16 тысяч долларов.

По информации украинских специалистов, скомпрометированные серверы используют и для рассылок вредоносных программ другим пользователям, стремясь заразить максимальное количество.

В Украине уже зафиксировано несколько таких инцидентов.

Также сообщается, что компания Microsoft выпустила пакеты обновлений для уязвимых версий и программные инструменты, предназначенные для самостоятельной проверки наличия уязвимости:

Во время установки пакетов обновлений необходимо учесть следующее. Обновления необходимо применить из командной строки от имени пользователя с правами администратора, после установки необходимо перезагрузить сервер. После завершения процесса обновления необходимо провести повторную проверку возможности эксплуатации уязвимости.

По состоянию на 12 марта 2021 года в стране было выявлено более 1000 уязвимых серверов Microsoft Exchange Server, из них 98,7% используются частными лицами.