Взлом электронной почты Microsoft Exchange Server: почему это так важно

Это только март, но у нас уже может быть кризис кибербезопасности года. 2 марта Microsoft сообщила, что обнаружила «ряд атак с использованием ранее неизвестных эксплойтов, нацеленных на локальное программное обеспечение Exchange Server». Microsoft обвинила в этом «деятеля национального государства», базирующегося в Китае, которого она назвала Hafnium. Взлом локальной электронной почты и календаря Exchange затронул Exchange Server 2010, 2013, 2016 и 2019.

Последствия взлома электронной почты Microsoft Server Exchange огромны. Короче говоря, это может позволить киберпреступникам удаленно получить полный контроль над вашим локальным сервером Exchange Server и всеми конфиденциальными данными, которые он содержит.

Microsoft не сообщила, сколько корпоративных и государственных серверов Exchange было взломано, но эксперт по безопасности Брайан Кребс сказал, что только в США их число составляет «не менее 30 000». Тем временем The Wall Street Journal сообщает, что по всему миру их может быть более 250 000 человек. Кребс отметил, что «значительное число» пострадавших составляют малые предприятия и органы местного самоуправления.

Уязвимость существует уже давно. Поскольку Exchange Server 2010, поддержка которого закончилась в прошлом году, был одним из продуктов, получивших экстренное исправление, Кребс предположил, что эксплуатируемые уязвимости в коде могут быть обнаружены более 10 лет назад. А охранная фирма Netcraft заявила, что «все бэкдоры прячутся на видном месте в файловой системе веб-сервера, но маскируются под безопасные скрипты или информационные свалки» — это означает, что они, вероятно, скрывались там в течение некоторого времени.

Хотя Microsoft выпустила обновления для затронутых серверов Exchange, ясно, что не все ИТ-администраторы применили исправления или даже поняли, насколько серьезен этот взлом электронной почты Exchange. В понедельник Microsoft заявила, что «продолжает видеть, как несколько участников используют неисправленные системы для атак на организации с локальным сервером Exchange». Это было подкреплено исследованием Netcraft, в котором говорится, что теперь, когда уязвимости были обнаружены, киберпреступники пытаются взломать неисправленные серверы Exchange.

Microsoft заявила, что взлом затрагивает только локальный Exchange. Microsoft заявила, что Outlook Online не пострадал. Microsoft также заявила, что взлом «никоим образом не связан с отдельными атаками, связанными с SolarWinds».

Один из нескольких выводов из этого хака может заключаться в том, что все больше компаний решат перенести свои локальные почтовые серверы Exchange на облачную электронную почту. А учитывая, сколько организаций могли пострадать даже после того, как Microsoft закрыла уязвимости с помощью обновлений, ИТ-отделам следует задуматься об инвестировании в хорошее программное обеспечение для управления исправлениями.