Letošnje leto so hekerji udarili že zelo zgodaj in poskrbeli za bržkone enega največjih varnostnih incidentov leta, katerega posledice bomo vsi čutili še dolgo. Kitajska hekerska skupina Hafnium je zlorabila vrsto novo odkritih ranljivosti v e-poštnih strežnikih Microsofta (in to vse različice 2013, 2016 in 2019).
»Hekerske skupine ter varnostni raziskovalci po vsem svetu odkrivajo sveže ranljivosti, tako imenovane ranljivosti ničtega dne. Od vsakega posameznika posebej pa je odvisno, za kakšne namene bo ugotovljeno ranljivost izkoristil. Hekerji s črnim klobukom jo izkoristijo za vdiranje v sisteme in povzročanje škode, kot se to je zgodilo v primeru strežnikov Microsoft Exchange. Ko gre za programsko opremo znanega proizvajalca, ki jo uporablja veliko organizacij, je problem še toliko večji,« je varnostni incident, ki skrbi malodane cel svet, komentiral Boštjan Špehonja, varnostni strokovnjak v podjetju PRO.astec.
Skozi stranska vrata do vse korenspondence
Hekerji so izkoristili ranljivosti modula za poenotenje sporočil v strežniku Exchange, ki organizacijam omogoča shranjevanje datotek glasovne pošte, faksov, e-poštnih sporočil, koledarjev in stikov v nabiralnikih uporabnikov, ter nanj namestili tako imenovana stranska vrata za oddaljen dostop. Tako so lahko pridobili dostop do malodane vsega, kar je shranjeno na strežnikih Exchange, vključno z e-poštnimi sporočili, glasovnimi sporočili, koledarji, stiki ...
Zaradi omenjene težave je završalo po vsem svetu, sploh po tem, ko so ranljivosti postale dostopne na temnem delu spleta in je razpoke v Microsoftovi programski opremi za e-pošto začelo izkoriščati vse več hekerjev.
Med najpogostejšimi žrtvami so seveda velika podjetja in organizacije, saj so med najbolj priljubljenimi tarčami za iskanje informacij in podatkov visoke zaupnosti in posledično tudi vrednosti. Zaradi omenjene težave so imeli informatiki Bele hiše oziroma v uradu ameriškega predsednika in celotne administracije polne roke dela, podobno kot druge žrtve pa o tem, kaj vse so si ogledali in prenesli napadalci, javno ne govorijo. Med ciljanimi žrtvami napada je tudi Evropski bančni organ (EBA), kar priča o ciljih napadalcev, da pridobijo e-poštno komunikacijo najpomembnejših organizacij na svetu.
Komu vse so prebrali e-pošto in komu vse jo še bodo (preden se kritične ranljivosti zakrpajo in odpravijo), je težko soditi. Varnostni strokovnjaki menijo, da se bo številka merila v milijonih podjetij in organizacij.
Microsoft je za ranljivost vedel že dva meseca
In zdaj nekaj žalostnih oziroma zaskrbljujočih dejstev. Microsoft je bil – kar je tudi sam potrdil – seznanjen z ranljivostmi strežnika Exchange Server že dva meseca pred napadom, ki so ga organizirali kitajski hekerji, ki naj bi jih domnevno podprla država. Raziskovalec v podjetju za varnostna testiranja DevCore je Microsoft prvič obvestil o dveh izmed štirih ranljivostih že 5. januarja, medtem ko je poznejša analiza prometa pokazala, da so napadalci svoje aktivnosti izvajali že 3. januarja. Obstaja celo verjetnost, da so zlonamerni akterji ranljivosti izkoriščali že od septembra 2020, a v omejenem obsegu. Januarja je Microsoft prejel številna opozorila in obvestila o napadih na e-poštne strežnike podjetij po vsem sveta. Težava je bila očitna.
»Zakaj je Microsoft potreboval kar dva meseca za odpravo ranljivosti, ni znano. Jasno je, da je časovno obdobje precejšnje, sploh glede na možnost izrabe ranljivosti ter povzročeno škodo, vendar stvari niso vedno črno-bele,« pravi Špehonja in pojasnjuje, da lahko nekateri popravki zahtevajo občutnejši poseg v programsko kodo, kar lahko privede do novih ranljivosti. »Vsak popravek kode je treba večkrat testirati. Nihče si ne želi, da bi Microsoft s hitrim popravkom povzročil dodatne ranljivosti ali težave v delovanju sistemov.«
Kako je mogoče, da za ustrezne varnostne popravke e-poštnega strežnika, ki ga uporablja malodane cel svet, tehnološki velikan z navidez neomejenimi kadrovskimi in finančnimi viri potrebuje več kot dva meseca? Pa tudi sicer je obnašanje ob tako kritičnih ranljivostih zelo nezrelo. Microsoft je šele 2. marca javnost obvestil, da v njegovih e-poštnih strežnikih Exchange obstaja več kritičnih ranljivosti, ter zanje objavil popravke.
Te velja namestiti čim prej, saj veriženje več kritičnih ranljivosti napadalcem omogoča dostop do predalov elektronske pošte in namestitev škodljive programske opreme na ranljivi strežnik MS Exchange. Iz Uprave RS za informacijsko varnost (URSIV) so 7. marca sporočili, da je nastopilo stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov.
»Dan po izdaji varnostnih popravkov smo začeli odkrivati vse več akterjev, ki so masovno napadali strežnike Exchange. Kar je še posebej zanimivo, je to, da je šlo v vseh primerih za skupine z naprednimi dolgotrajnimi grožnjami (APT), ki se ukvarjajo z vohunjenjem, razen ene, ki je povezana z znano skupino za rudarjenje kripto valut. Neizogibno je, da bo imelo vse več akterjev, vključno z operaterji izsiljevalskih virusov, slej ali prej dostop do odkritih varnostnih lukenj,« je povedal Matthieu Faou, ki v podjetju ESET, ki razvija varnostne rešitve, vodi raziskovanje zadnje verige ranljivosti v strežnikih Exchange.
ESET-ovi raziskovalci so pri tem opazili, da so nekatere skupine APT izkoriščale ranljivosti še pred izidom varnostnih popravkov. »To pomeni, da lahko izključimo možnost, da so te skupine našle vrzel v Microsoftovih posodobitvah z uporabo povratnega inženiringa,« je še dodal Faou.
Kaj storiti?
»Podjetjem svetujemo, da skrbniki strežnikov Exchange najprej namestijo varnostne popravke, kar bo onemogočilo izrabo ranljivosti. V drugem koraku naj poskrbijo za analizo strežnika in ugotovijo, ali je bil ta tarča napada. V internetu so že na voljo orodja, ki so skrbnikom v pomoč pri diagnosticiranju zlorabe. Če te odkrijejo, naj o tem obvestijo SI-CERT ter Policijo,« svetuje Špehonja.
Tudi v nacionalnem centru SI-CERT podjetja in organizacije pozivajo, da čim prej namestijo popravke proizvajalca ranljive programske opreme. Njihovo sporočilo si lahko preberete na tej spletni povezavi.
