מיקרוסופט: האקרים סינים מנצלים חולשות אבטחה בשרתי Exchange
החברה הודיעה כי היא ממליצה לעדכן בדחיפות את שרתי המיילים הארגוניים, המשמשים את רוב החברות בעולם בשליחת מיילים. מיקרוסופט ציינה שמדובר בקבוצת האקרים סינים בשם Hafnium, שניסתה לגנוב מידע ממספר גדול של חברות וארגונים אמריקאיים
מיקרוסופט הודיעה אתמול (ד') על סדרה של 4 חולשות אבטחה שהתגלו בשרתי המיילים הארגוניים Exchange. אלה משמשים את הרוב המוחץ של החברות בעולם כדי לאפשר שליחה של מיילים.
- צ'ק פוינט: האקרים סינים גנבו נשק סייבר מה-NSA ועשו בו שימוש פעמים רבות
- האקרים טורקים השתלטו על כנס הבחירות של יצרני החלב בישראל
- ההאקרים לא יצאו לחל"ת - הם עברו לעבוד מהבית
בחברה ציינו שקבוצת האקרים סינים שמכונה Hafnium, ניסתה למנף את החולשות האלה כדי לנסות לגנוב מידע ממספר גדול של חברות וארגונים אמריקאיים - משרדי עו''ד, חברות בתחום הביטחון וקבלנים של הפנטגון, אך גם מעבדות מחקר בתחום המחלות המדבקות ומוסדות מחקר פוליטיים.
בין סוגי המידע שניתן לגנוב דרך החולשות, מיקרוסופט ציינה אנשי קשר וחשבונות מייל. אך מעבר לכך האקרים יכולים גם למנף את החולשה להזרקת נוזקות. כאשר עושים שימוש בכל 4 החולשות במקביל, ניתן לפרוץ לכל שרת Exchange גם בגרסאות החדשות מ-2013 ואילך. מיקרוסופט הודיעה שהיא העמידה עדכוני אבטחה שחוסמים את החולשות ושהיא ממליצה לכל המשתמשים לעדכן אותם.
בחברה סירבו לחשוף את מספר המקרים בהם מתקפות של האקרים הצליחו - אך ציינו שמדובר במספר "מוגבל". גם מערך הסייבר הלאומי התריע והמליץ לעדכן את התוכנות בהקדם. "חברת מיקרוסופט פרסמה אתמול עדכוני אבטחה חריגים, מחוץ למחזור העדכונים הקבוע, לטיפול בחולשות אלו, המנוצלות כבר בפועל (Zero Day) על ידי קבוצת תקיפה מדינתית. החולשות מוגדרות על ידי מיקרוסופט חמורות וניתנות למימוש בקלות על ידי תוקפים", כך נכתב בהודעת המערך.
על פי המערך, ניצול החולשות אלו לתקיפה עלול לשמש להפעלת קוד תוכנה על השרת, כמו כן דליפת מידע, התקנה של Web Shell, ותנועה רוחבית לרשת הארגונית. ההמלצה לארגונים בישראל היא לבחון ולהתקין את העדכונים בהקדם האפשרי על כל שרתי ה-Exchange, ובפרט על שרתים הנגישים מרשת האינטרנט. כמו כן, ממליץ המערך להגביל את הגישה לשרתי OWA - שירות הגישה האינטרנטי לתיבות הדואר של המשתמשים, לדוגמא באמצעות שירות VPN עם הזדהות חזקה והצפנה מתאימה.