Национальный координационный центр кибербезопасности при Совете национальной безопасности и обороны (СНБО) предупредил об активном использовании киберпреступниками уязвимостей в распространенном программном продукте Microsoft Exchange.

Как сообщает пресс-центр СНБО, по состоянию на 12 марта в Украине выявлено более 1000 уязвимых серверов Microsoft Exchange Server, из них 98,7% используются в частном секторе.

"В случае успешной эксплуатации уязвимостей атакующие имеют возможность выполнить произвольный код в уязвимых системах и получить полный доступ к скомпрометированному серверу, включая доступ к файлам, электронной почту, учетным записям и тому подобное. Кроме того, успешная эксплуатация уязвимостей позволяет получить несанкционированный доступ к ресурсам внутренней сети организации", – сказано в сообщении.

Скомпрометированные серверы также используются для рассылок вредоносных программ для дальнейшего инфицирования максимального количества организаций. В Украине уже зафиксировано несколько таких инцидентов, добавили в СНБО.

В ведомстве уточнили, что уязвимыми являются локальные версии Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019. В то же время нет данных об уязвимостях в облачных версиях Microsoft 365, Exchange Online, Azure Cloud.

"Наибольшую активность в эксплуатации уязвимых систем проявила китайская кибершпионская группировка Hafnium, но сейчас уже подтверждено активность других хакерских групп, среди которых Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic, Winnti Group (BARIUM, APT41), Tonto Team (CactusPete), ShadowPad, Mikroceen, DLTMiner", – подчеркивается в сообщении.

При этом уязвимость эксплуатируется не только группами, за которыми стоят спецслужбы, но и киберпреступниками. Подтверждены факты инфицирования уязвимых систем программами-вымогателями, в частности, новых семейств DearCry, DoejoCrypt. Сумма выкупа, которую требовали преступники в одном из подтвержденных случаев, составила более $16 тыс.

В СНБО отмечают, что ранее Microsoft сообщал о несанкционированном доступе к фрагментам исходного кода ее продуктов при масштабной кибератаке на госучреждения и частные организации США, которая получила название Solorigate.

Сейчас Microsoft выпустил пакеты обновлений для уязвимых версий и программные инструменты, предназначенные для самостоятельной проверки наличия уязвимости. Однако процедура обновления не всегда автоматически позволяет обеспечить защиту от уязвимостей для всех версий Microsoft Exchange Server. Поэтому после завершения процесса обновления необходимо провести повторную проверку возможности эксплуатации уязвимости.

Напомним, ранее СНБО сообщило о новом механизме DDoS-атак на сайты органов власти.