Praha, 15. března 2021 – V České republice se nachází přibližně 500 poštovních serverů, které byly infikovány útočníky, kteří zneužili zranitelnosti Microsoft Exchange. Vyplývá to z dat společnosti ESET, která na základě aktuálních zjištění zásadně mění odhady rozsahu důsledků této situace.
„Na základě našich dat vidíme, že Česká republika patří mezi globálně nejvíce zasažené země. Příčiny této situace spatřujeme mimo jiné ve velkém počtu serverů, které jsou takzvaně vystavené do internetu. Zároveň se v Česku fyzicky nachází poměrně významný počet IT infrastruktur řady globálních společností, což v konečném důsledku naši situaci ve srovnání s ostatními zeměmi zhoršuje,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.
Přestože se pořadí v následujících dnech může změnit, důležitá je aktivita v oblasti nezbytných aktualizací jednotlivých organizací, které servery hostují.
„Zde jsme v uplynulém týdnu viděli velký posun správným směrem. Počet serverů, které byly svými správci aktualizovány, se výrazně zvýšil a naprostá většina je již aktualizována. Na druhou stranu je zde značné procento těch, kteří z nějakého důvodu aktualizaci stále neprovedli. Zde bychom chtěli varovat, v tomto případě opravdu nelze otálet,“ říká Dvořák.
Klíčové je instalovat aktualizace s opravou
Pro tyto zranitelnosti vydal Microsoft bezpečnostní opravy již na začátku března. Podle odborníků je nezbytné instalovat o tyto opravy všechny dotčené servery, nejen ty vystavené do internetu.
„Pokud už ke kompromitaci došlo, měli by administrátoři malware odstranit, změnit přístupové údaje a prověřit, zda na serveru nedošlo k dalším aktivitám útočníků. Incidenty jako tento jsou dobrou připomínkou, že komplexní aplikace, jako je Microsoft Exchange nebo SharePoint, by neměly být, pokud existuje jiná alternativa, vystaveny přímo do internetu,“ radí Dvořák.
Zranitelnost využívá několik útočných skupin
Společnost ESET vydala 11. března informaci, kde shrnula aktuální zjištění. Na aktuálních útocích se podílí více než deset různých útočných skupin, které pravděpodobně využily nedávné chyby zabezpečení Microsoft Exchange k instalaci malwaru na e-mailové servery obětí. V některých případech se několik skupin zaměřovalo na stejnou oběť. Mezi nejznámějšími můžeme jmenovat například skupinu Winnti nebo Mikroceen.
„V tomto případě se nejedná o typy útoků, které okamžitě ochromí chod organizace, jak tomu bývá vpřípadě ransomware nebo podobných typů útoků,” popisuje Dvořák. „Napadeným organizacím hrozí eskalace infekce, jedná se vlastně o úspěšný penetrační průnik. To znamená, že útočníci budou dále v síti šířit svůj malware, hrozí také kompromitace e-mailové komunikace a zneužití dat v ní. Během víkendu se objevily také první ransomwary, které tuto zranitelnost zneužívají k zašifrování souborů,“ dodává
Na začátku března vydal Microsoft pro poštovní servery Exchange Server 2013, 2016 a 2019 bezpečnostní záplaty opravující tyto zranitelnosti typu pre-autentizačního vzdáleného spuštění kódu (RCE). Tato technika umožňuje útočníkovi převzít kontrolu nad jakýmkoliv zranitelným serverem Exchange publikovaným své webové rozhraní do internetu, aniž by bylo nutné znát platné přihlašovací údaje.
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.
ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.