Aktívan kihasználják az Exchange sérülékenységet
Az elemzőket és a szakértőket is meglepte, milyen mértékű lehet a március elején bejelentett Microsoft Exchange szervereket érintő sérülékenység kihasználása. Az első hírek szerint tömeges kihasználási kísérletek lepték el a világhálót, és az elemzők szerint egy szerver sincs biztonságban.
Bár a Microsoft ezúttal gyorsan reagált, és kiadott egy vészhelyzeti javítást valamint egy blogposztban is igyekezett felhívni a rendszergadák figyelmét a veszélyre, úgy látszik ez nem volt elégséges.
A kutatók és biztonsági szakemberek egyre inkább meg vannak arról győződve, hogy a javítás telepítése nem elégséges, mert a feltételezések szerint a sérülékenységet már korábban kihasználták, és több száz szerverre már telepítésre került a második lépcsős webshell, ami már biztosítja a hackerek számára a hátsó ajtót.
A kutatók javaslata szerint minden Exchange üzemeltető keressen a hálózatában a 157.230.221[.]198 és 165.232.154[.]116 IP címek irányába tartó, vagy onnan érkező forgalmat, illetve kutassa fel, hogy a webshell települt-e az eszközeikre.
Lelkes programozók már közzétettek egy toolt, amivel könnyebben azonosítani lehet, hogy fertőzött-e az adott eszköz.
Európai idő szerint este hét órakor a HuntressLabs videokonferenciát is tart a témában az érdeklődük számára.
Frissítés Március 05:
A fenti előadás anyaga:
A CERT-LV is kiadott egy PS scriptet, melynek segítségével szinte 100%-os pontossággal lehet felmérni, hogy megfertőződött-e az adott szerver. A Lett kollégák 0 false pozitív eredményt garantálnak.
A CISA témával kapcsolatos riasztásai pedig itt találhatóak:
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
CISA Emergency Directive 21-02
A témával kapcsolatban máris számos háttéranyag keletkezett, többek közt:
CERT-ek figyelmeztetései: