ESET: V Česku detekujeme 500 napadených poštovních serverů

V České republice se nachází přibližně 500 poštovních serverů, které byly infikovány útočníky, kteří zneužili zranitelnosti Microsoft Exchange. Vyplývá to z dat společnosti ESET, která na základě aktuálních zjištění zásadně mění odhady rozsahu důsledků této situace.

„Na základě našich dat vidíme, že Česká republika patří mezi globálně nejvíce zasažené země. Příčiny této situace spatřujeme mimo jiné ve velkém počtu serverů, které jsou takzvaně vystavené do internetu. Zároveň se v Česku fyzicky nachází poměrně významný počet IT infrastruktur řady globálních společností, což v konečném důsledku naši situaci ve srovnání s ostatními zeměmi zhoršuje,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

Přestože se pořadí v následujících dnech může změnit, důležitá je aktivita v oblasti nezbytných aktualizací jednotlivých organizací, které servery hostují.

„Zde jsme v uplynulém týdnu viděli velký posun správným směrem. Počet serverů, které byly svými správci aktualizovány, se výrazně zvýšil a naprostá většina je již aktualizována. Na druhou stranu je zde značné procento těch, kteří z nějakého důvodu aktualizaci stále neprovedli. Zde bychom chtěli varovat, v tomto případě opravdu nelze otálet,“ říká Dvořák.

Klíčové je instalovat aktualizace s opravou

Pro tyto zranitelnosti vydal Microsoft bezpečnostní opravy již na začátku března. Podle odborníků je nezbytné instalovat o tyto opravy všechny dotčené servery, nejen ty vystavené do internetu.

„Pokud už ke kompromitaci došlo, měli by administrátoři malware odstranit, změnit přístupové údaje a prověřit, zda na serveru nedošlo k dalším aktivitám útočníků. Incidenty jako tento jsou dobrou připomínkou, že komplexní aplikace, jako je Microsoft Exchange nebo SharePoint, by neměly být, pokud existuje jiná alternativa, vystaveny přímo do internetu,“ radí Dvořák.

Zranitelnost využívá několik útočných skupin

Společnost ESET vydala 11. března informaci, kde shrnula aktuální zjištění. Na aktuálních útocích se podílí více než deset různých útočných skupin, které pravděpodobně využily nedávné chyby zabezpečení Microsoft Exchange k instalaci malwaru na e-mailové servery obětí. V některých případech se několik skupin zaměřovalo na stejnou oběť. Mezi nejznámějšími můžeme jmenovat například skupinu Winnti nebo Mikroceen.

„V tomto případě se nejedná o typy útoků, které okamžitě ochromí chod organizace, jak tomu bývá vpřípadě ransomware nebo podobných typů útoků,” popisuje Dvořák.  „Napadeným organizacím hrozí eskalace infekce, jedná se vlastně o úspěšný penetrační průnik. To znamená, že útočníci budou dále v síti šířit svůj malware, hrozí také kompromitace e-mailové komunikace a zneužití dat v ní. Během víkendu se objevily také první ransomwary, které tuto zranitelnost zneužívají k zašifrování souborů,“ dodává

Na začátku března vydal Microsoft pro poštovní servery Exchange Server 2013, 2016 a 2019 bezpečnostní záplaty opravující tyto zranitelnosti typu pre-autentizačního vzdáleného spuštění kódu (RCE). Tato technika umožňuje útočníkovi převzít kontrolu nad jakýmkoliv zranitelným serverem Exchange publikovaným své webové rozhraní do internetu, aniž by bylo nutné znát platné přihlašovací údaje.