Začátkem března došlo k mimořádnému zneužití několika zranitelných míst spojených se Zero-Day na Microsoft Exchange Serveru. Útočníci spustili kód v rámci Exchange Serveru, díky němuž získali plný přístup k e-mailovým účtům na serveru. Společnost Microsoft již vydala opravu, ale analytici zaznamenali další nárůst útoků – zejména u organizací v Evropě a USA, které cílily na zneužití této chyby. V České republice byly napadeny servery Magistrátu hlavního města Prahy a Ministerstva práce a sociálních věcí.

Od začátku března 2021 společnost Kaspersky detekovala podobné útoky na více než 1 200 uživatelů, přičemž tento počet neustále rostl. Největší počet (26,93 %) cílených uživatelů byl v Německu. Mezi další země, které byly zasaženy nejvíce, patří Itálie, Rakousko a Švýcarsko a USA.

Společnost Kaspersky spojuje útoky a související následky s těmito soubory:

• Exploit.Win32.CVE-2021-26857.gen
• HEUR:Exploit.Win32.CVE-2021-26857.a
• HEUR:Trojan.ASP.Webshell.gen
• HEUR:Backdoor.ASP.WebShell.gen
• UDS:DangerousObject.Multi.Generic
• PDM:Exploit.Win32.Generic

K ochraně před útoky využívajícími výše uvedenou chybu zabezpečení se doporučuje následující:

• Co nejdříve aktualizujte Microsoft Exchange Server.
• Zaměřte obrannou strategii na detekci pohybů dat v rámci sítě. Věnujte zvláštní pozornost odchozímu provozu, abyste odhalili případnou nekalou aktivitu. Pravidelně zálohujte data. Ujistěte se, že k nim máte v případě nouze rychlý přístup.
• Použijte řešení a služby, které pomáhají identifikovat a zastavit útok v raných fázích útoku.
• Použijte spolehlivé řešení zabezpečení koncových bodů, které se zaměřuje na prevenci zneužití, analýzu chování a obsahuje nápravný modul, který je schopen zvrátit škodlivé aktivity.

Zdroj/obrázek: Kaspersky