Kyberútoky na Microsoft Exchange Servery v ČR budou pokračovat

Minulý týden 4. března ve čtvrtek večer provedli hackeři útok na vybrané systémy tuzemské veřejné správy. Mezi napadenými se ocitlo ministerstvo práce a sociálních věcí a pražský magistrát. Útoky byly cíleně vedeny na e-mailové servery pracující na platformě Microsoft Exchange a souvisí se zranitelností, pro kterou společnost Microsoft minulý týden vydala záplaty formou aktualizací. Podle vyjádření dotčených organizací se v tomto případě útočníkům naštěstí nepodařilo ukrást žádná data a ani vyřadit inkriminované systémy z chodu. Experti na kyberbezpečnost však důrazně doporučují na nic nečekat a aktualizace ihned nainstalovat. Pokud se tak nestane, dojde k dalším útokům, které mohou být masivnější a již úspěšné.

Jen den před útoky, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal upozornění právě na sadu závažných zranitelností postihující Microsoft Exchange Server a dodal, že podle informací společnosti Microsoft jsou aktuálně aktivně zneužívány. To mimo jiné znamená, že útoky budou pokračovat i na dále. Jen v České republice se používá více jak 6 000 e-mailových serverů pracující právě na platformě Microsoft Exchange. Řešením je oprava těchto zranitelností formou vydané aktualizace.

Čeho se zranitelnost týká?

Dne 2. března společnost Microsoft vydala softwarové záplaty pro čtyři různé chyby ve svém produktu Exchange Server. Zveřejnění takovýchto opravných balíčků je běžnou praxí a v případě Microsoftu se tak děje pravidelně, vždy druhé úterý v měsíci. Pokud jsou chyby opravdu závažné, dochází k vydávání oprav mimo tento termín, a tak tomu bylo i v tomto případě. 

Veřejnosti dosud neznámé chyby označené jako CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 a CVE-2021-27065 mohou být útočníky zneužity na dálku prostřednictvím internetu, díky čemuž mohou získat neoprávněný přístup a následnou úplnou kontrolu nad napadnutým e-mailovým serverem. Útočníci pak mohou napadený systém „pravidelně zneužívat“ například přečíst si obsah e-mailů, stáhnout je, vymazat, zašifrovat atd., v podstatě si s ním mohou dělat cokoliv.

Jak moc je toto riziko nebezpečné?

Vzhledem k tomu, že záplaty byly vydány současně s informacemi, že zranitelnosti, které opravují, jsou již ve světě aktivně zneužívány, je situace v tomto případě velmi vážná. Společnost Microsoft ve své zprávě dokonce zmínila novou skupinu útočníků HAFNIUM, která tuto chybu už využívá pro vykrádání informací z e-mailových serverů Microsoft Exchange Server. 

HAFNIUM je skupina podporovaná a pocházející z Číny, která si vybírá cíle mezi průmyslovými organizacemi, organizacemi věnující se výzkumu infekčních chorob, právnickými kancelářemi, vysokými školami, ale i neziskové organizace. Zda je skupina zodpovědná také za útoky v Česku, ukáže až další vyšetřování.

Znepokojivé jsou také další informace o podobných útocích, které zveřejnila americká bezpečnostní firma Volexity. Ta u dvou svých zákazníků již v lednu 2021 odhalila napadnuté e-mailové servery Microsoft Exchange a po upozornění společnosti Microsoft a dalších relevantních organizací, útočníky dále sledovala. Útočníci dokázali servery a data v nich na dálku úplně ovládnout, ukradnout z nich přihlašovací jména, hesla, kontakty nebo v nich vytvářet nové uživatelské účty. K útokům byly využívány právě chyby, na které byly teprve vydány opravné balíčky. 

Je tato situace překvapující?

Málokoho z bezpečnostních specialistů takové incidenty překvapí. Dějí se pravidelně, a o celé řadě z nich se veřejnost nedozví. Je celkem běžné, že IT správci prohrávají s útočníky boj o čas. Jen od začátku roku bylo zveřejněno na 3 000 různých zranitelností. Samozřejmě ne všechny se týkají každé organizace, ale dokázat takové množství bezpečnostních informací vůbec sledovat, zpracovat, ověřit
a následně aplikovat opravné řešení, si vyžaduje dostatečné správcovské kapacity, dobře fungující procesy a náležité technické vybavení. Navíc často finančně poddimenzovaná IT oddělení to při jejich množství práce nezvládají. Ani v blízké budoucnosti nelze očekávat, že by se to nějak změnilo. Nové bezpečnostní zranitelnosti budou i nadále přicházet (jejich tempo se bude dokonce zvyšovat). Administrátoři je nebudou stíhat opravovat a útočníci je budou úspěšně dále zneužívat. Na toto si budou muset všichni buď zvyknout, anebo to změnit a dát kybernetické bezpečnosti výrazně vyšší prioritu.

Jak se bránit?

Budování dobré kybernetické obrany není pouhým sprintem, ale rovnou maratónem. Bohužel se v něm ještě nikomu nepodařilo doběhnout do cíle, protože je to závod, který nikdy neskončí. Kybernetickou bezpečnost si nelze koupit na klíč, není to projekt, který lze úspěšně zrealizovat a zapomenout na něj. V prvním případě musí být vedení organizace přesvědčeno, že je nevyhnutelné se tomuto tématu intenzivně věnovat a dát mu vysokou prioritu. Nejen formálně, ale především skutečně. To je nevyhnutelný základ a vše ostatní je dále řešitelné kombinací vzdělávání vlastních odborníků, využíváním moderních technologií a externích partnerů.

Autor: Martin Lohnert, IT specialista společnosti Soitron a ředitel dohledového centra kybernetické bezpečnosti Void SOC