Microsoft: Čína aktívne zneužíva zero-day zraniteľnosti v emailovej službe Exchange

Microsoft: Čína aktívne zneužíva zero-day zraniteľnosti v emailovej službe Exchange

Americký technologický gigant Microsoft informoval o cielenom útoku na svoju emailovú službu Exchange. Má za ňou stáť čínska štátom sponzorovaná hackerská skupina Hafinium. Čína obvinenia popiera. 

Útočníci mali zneužiť štyri kritické zero-day zraniteľnosti, ktoré im umožnili získať prístup k serverom a emailovým účtom. Hackeri následne infikovali softvér malvérom, pomocou ktorého mali exfiltrovať dáta.

Viceprezident pre oddelenie zákazníckej bezpečnosti a dôvery Tom Burt na oficiálnom blogu Microsoftu neprezradil, koľko obetí útok zasiahol – má ísť ale o „obmedzený“ počet. Burt zároveň varoval ostatné organizácie.

Aj napriek tomu, že sme rýchlo pracovali na zavedení aktualizácie pre dané exploity, vieme, že mnoho národných aktérov a zločineckých skupín sa rýchlo presunie, aby zneužili akékoľvek neopravené systémy.

Microsoft už na štyri identifikované zero-day zraniteľnosti označené ako CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 a CVE-2021-27065 vydal záplaty. Medzery sa majú nachádzať v produktových verziách z roku 2013, 2016 aj 2019.

Čína na seba nenechala čakať

IT analytici spoločnosti Microsoft na základe použitej taktiky z útoku obvinili hackerskú skupinu Hafnium. Tá nielenže pochádza z Číny, podľa Microsoftu má byť taktiež priamo podporovaná tamojšou vládou.

Hovorca čínskeho ministerstva zahraničia Wang Webin obvinenia poprel a vyzval Microsoft k zodpovednému správaniu. Firma by mala predložiť dostatočné množstvo dôkazov, namiesto „nevyprovokovaných odhadov“.

Technologický gigant sa s Hafiniom údajne nestretol prvýkrát – aktivitu skupiny zaznamenal aj v súvislosti so službou Office 365. V minulosti mala cieliť na široké spektrum organizácií so sídlom v USA, vrátane právnických firiem, univerzít či politických think-tankov.

Cieľom môže byť aj Slovensko 

Pred aktívne zneužívanými zraniteľnosťami varuje i Národné centrum kybernetickej bezpečnosti SK-CERT. Obeťami útočníkov sa môžu stať aj používatelia v slovenskom kyberpriestore.

SK-CERT preto dôrazne odporúča softvéry urýchlene aktualizovať, preveriť bezpečnosť serverov, vymeniť heslá a v neposlednom rade vlastné systémy aktívne monitorovať.


Kristína Urbanová

AKTUALIZOVANÉ 5. 3. 2021, 11:42