Microsoft Exchange Hack: Как это было возможно и как это предотвратить.

Microsoft Exchange-сервер

О чем был взлом Microsoft Exchange?

В январе 2021 года Microsoft было сообщено о нескольких эксплойтах нулевого дня, которые позволили злоумышленникам получить удаленный доступ к серверам Microsoft Exchange. 2 марта Microsoft опубликовала исправление для закрытия этих уязвимостей. Однако по сей день не все серверы Exchange исправлены, поэтому атаки продолжаются.

Как удалось взломать Microsoft Exchange?

Уязвимости нулевого дня - это уязвимости программного обеспечения, неизвестные производителю программного обеспечения. В случае с Microsoft Exchange эти уязвимости, скорее всего, существовали с 2010 года. Серверы Exchange, используемые десятками тысяч компаний, органов государственной власти и других организаций, использовали ПО, на которое распространялось данное ПО, на своих локальных серверах Exchange.

Огромное количество используемых серверов Exchange, а также время, необходимое каждой отдельной организации для исправления своих серверов, открывало возможность злоумышленникам злоупотреблять этими уязвимостями - даже после того, как исправление было доступно.

Только в США было атаковано не менее 30.000 организаций.

Сроки .

январь

Уязвимость Microsoft Exchange, позволяющая злоумышленнику обойти аутентификацию и выдать себя за администратора этого сервера, была впервые отмечена главным исследователем безопасности для фирмы DEVCORE, которая занимается тестированием безопасности и использует ручку 'Orange Tsai'.

Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝

— Orange Tsai 🍊 (@orange_8361) January 5, 2021

Позднее в том же месяце охранная фирма Dubex предупредила Microsoft об атаках на новый изъян Exchange-сервера.

Февраль

С февраля охранная фирма Volexity предупреждает Microsoft об активных атаках на ранее неизвестные уязвимости Exchange.

8 февраля Microsoft сообщает Dubex о том, что она "обострила" свой отчет внутри компании.

Март

2 марта компания Microsoft выпустила обновления для исправления четырех ошибок нулевого дня в Exchange.

Однако целевое массовое использование уязвимостей началось уже 28 февраля.

12 марта Microsoft заявила, что до сих пор 82.000 незащищенных серверов не обнаружены.

По сей день многие локальные серверы Microsoft Exchange остаются нераскрытыми и все еще уязвимы для этих уязвимостей.

Злоумышленники

Майкрософт сказал, что изначально атака была совершена HAFNIUM, китайской государственной хакерской группой. Microsoft назвала HAFNIUM "высококвалифицированным и сложным актером". Системы электронной почты компании были нацелены на фильтрацию "информации из ряда отраслей промышленности, включая исследователей инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонные подрядчики, политические аналитические центры и НПО". По данным Microsoft, это был "восьмой раз за последние 12 месяцев, когда компания Microsoft публично раскрыла информацию о группах национальных государств, нацеленных на учреждения, критически важные для гражданского общества". Позднее уязвимости были использованы и другими злоумышленниками.

Что мы можем сделать для защиты наших данных

Во-первых, мы должны признать, что обеспечение безопасности в Интернете - это трудная задача. В то время как большинство хостинг-провайдеров сразу же устраняют уязвимости, безопасность для многих компаний также является вопросом доверия.

Доверие является основной причиной, по которой компании, особенно в Германии, до сих пор предпочитают размещать свои данные внутри компании. Это вполне понятно: Если вы знаете, где находится сервер, если вы знаете, кто имеет доступ к серверам, вы доверяете, что данные на этих серверах хранятся в безопасности.

Альтернатива - размещение данных вашей компании в облаке, другими словами, на серверах других людей - кажется гораздо более рискованной и не заслуживающей доверия. И правда в том, что эти компании правы: если вы размещаете свои данные в облаке, вы должны верить, что хостинг-провайдер хранит данные в безопасности всеми средствами. Сюда же относится и то, что провайдер должен хранить данные в безопасности от собственных сотрудников, что практически невозможно. Недавнее расследование, проведенное Bellcat, показало, насколько легко можно получить конфиденциальные личные данные от сотрудников.

Шифрование неизбежно

Доверие, однако, можно построить, добавив еще один уровень безопасности: сквозное шифрование.

Любые данные, зашифрованные сквозным шифрованием, остаются недоступными для оператора связи. Тутанота, например, является одним из таких сервисов, который шифрует как можно больше данных из конца в конец.

Как следствие, компания Tutanota и все ее сотрудники имеют нулевой доступ к зашифрованным данным клиентов. Кроме того, если бы злоумышленник мог получить доступ к серверам, он бы получил доступ только к зашифрованным данным, что делает эти данные непригодными для промышленного шпионажа со стороны иностранных государственных компаний.

Поставщики "облачных" услуг обычно четко ориентируются на безопасность. В конце концов, это их ответственность за быстрое исправление уязвимостей. Это освобождает компании, размещающие свои данные у провайдера компьютерного облака, от необходимости вручную обновлять свои серверы. Кроме того, провайдер компьютерного облака также применяет сквозное шифрование к данным клиентов.

Правильное выполнение требований безопасности

Взломы Microsoft Exchange демонстрируют, что делать все правильно с безопасностью очень сложно.

Это особенно тяжело для малых и средних компаний, что подчеркивается тем фактом, что по сей день тысячи серверов Exchange остаются непревзойденными.

В связи с тем, что сквозное шифрование становится доступным во все большем количестве сервисов, таких как Tutanota, пришло время признать, что размещение данных в зашифрованном облаке может быть надежной альтернативой для многих компаний.