Hackerské útoky skrze MS Exchange Server

Česko je pod palbou útoků skupiny Hafnium. Přečtěte si, co se děje, jak se útokům bránit a jak přistupovat k IT bezpečnosti.  

Microsoft Exchange Server pod palbou hackerů aneb Hafnium pro nás už nebude jen kovový prvek 

Správci mnohých firemních sítí za sebou mají krušné chvíle. Českou republiku zasáhla vlna kyberútoků. Do hledáčku hackerů se v posledních desítkách hodin dostali pražský magistrát či ministerstvo práce a sociálních věcí. Na vině jsou pravděpodobně zranitelnosti Microsoft Exchange Serveru. Doporučujeme vám, pokud jste to ještě neudělali, instalovat aktualizace, které je odstraní. A u toho si přečíst text Ivo Kubíčka, konzultanta IT bezpečnosti O2. Popisuje nejen to, co můžou hackeři způsobit, ale radí, jak se jim bránit.  

„Byl další pandemický pátek, den, kdy se válčilo s virem. Boje probíhaly i na dalších frontách. V novinových článcích se vedle známého označení SARS-CoV-2 vyskytly i zkratky CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 a CVE-2021-27065. Ti od počítačů o tom mluvili jako o popisech zranitelností, které byly dosud neznámé a které už někdo začal zneužívat. Některé instituce reportovaly, že jsou „safe“. Jiné mlčely, i když jejich elektronické služby byly divně pomalé a někdy i úplně nedostupné. Byl jsem zmatený a frustrovaný. Co je tohle za dobu? „

Nebojte, nedal jsem se na psaní postapokalyptických románů. Jen jsem hledal způsob, jak popsat, co se v posledních dnech děje: Tedy kybernetické útoky i na české instituce pravděpodobně vyvolané čínskou zločineckou skupinou Hafnium, která operuje ze serverů, co si pronajala v datových centrech v USA. Tohle je globalizace v praxi. 

Hrozba útoku na Exchange servery a první pokusy o ně 

Ve středu ráno mi psal kolega z O2 SEC, že temná strana zase něco chystá. Microsoft už v té chvíli popisoval vektor možného útoku. Tou dobou o možné hrozbě informoval i NÚKIB. 

Další vývoj byl nečekaně rychlý. V noci ze čtvrtka na pátek se objevily zprávy o pokusu napadnout Ministerstvo práce a sociálních věcí nebo pražský magistrátUž teď je jisté, že seznam institucí bude dlouhý a stejně dlouho bude neúplný. Útok na Exchange servery navíc  může být jen prvním dílkem v mnohem větší skládačce.  

V praxi totiž přístup k e-mailovým schránkám na serveru bez autentizace a uživatelské interakce a následné vzdálené spuštění kódu, může připravovat půdu pro další kroky: Jako je třeba pozdější krádež dat.  

Kill chain jako funkční model bezpečnosti IT 

Asi každý, kdo začal přemýšlet o tom, co všechno může takové vzdálené spuštění kódu znamenat, má teď husí kůži. Ale netřeba panikařit. Spuštění kódu je jen dílkem z větší skládačky, které se říká kill chain. Kill chain původně popisoval obecný scénář pro úspěšnou čistě vojenskou akci. Později byl ve společnosti Lockheed Martin převeden do obecného scénáře popisujícího kroky kyber zločinců při jejich akcích.

V praxi to (velmi zjednodušeně) znamená, že jednotlivé dílky z tzv. kill chain, jednotlivé dílčí hrozby, dokážou zachytit nejrůznější bezpečnostní prvky a systémy. Než tedy někdo ukradne cizí data, mnohokrát se v rámci tohoto řetězce vystaví nebezpečí, že ho některý z bezpečnostních systémů zachytí.  

Prostudujte doporučení NÚKIB pro administrátory  

S odkazem na poslední řádky by se tedy hodila revize doporučení „Nepanikařte“. Nepanikařte, pokud vaše bezpečnostní řešení odpovídají aktuální formě využívání ICT. A pokud se vám problematika „Kybez a toho, co použít“ zdá složitá a velmi často zahlcená spíše marketingovými doporučeními mnoha firem, vsaďte na NÚKIB. 

Konkrétně na Doporučení NÚKIB pro administrátory, které shrnuje, co je potřeba řešit v rámci moderní kybernetické bezpečnosti. Pokud elektronickým dokumentům neholdujete a máte raději interaktivní nástroje, můžete využít aplikaci, kterou jsme v O2 společně s experty z NÚKIBu připravili. Zhodnotí aktuální stav vaší IT bezpečnosti na základě zmíněných doporučení. 

A na vás pak je, jestli se pustíte do jejich implementace, nebo jestli budete ve firmě každý den žít v obavách, že přijde další postapokalyptické ráno… 

 

S bezpečností vám poradíme

 

Ivo Kubíček, business development manager – security

V oblasti ICT se Ivo pohybuje už čtvrt století. Od původního fyzického budování sítí a stavby PC se posunul k designu infrastrukturních prvků. Architektonické, předprodejní i prodejní aktivity od širokého záběru (PC, ntb, servery, UPS, sítě) začal na přelomu století více orientovat na sítě a bezpečnost. Svou znalostní bázi podpořil studiem na Cisco Academii, stejně tak jako získáním řady certifikací. V minulém zaměstnání na pozici produktového specialisty řešil sítě a jejich bezpečnost se širokým portfoliem zákazníků (od různě velkých ISP, přes státní organizace až k firmám a korporacím). Aktuální práce v O2 kompetenčním centru bezpečnosti ICT mu dává další nové podněty. Vždy se snaží být při řešení úkolů efektivní, což často znamená nečekanou, ale funkční kombinaci různých nástrojů. Tyto inovativní pohledy mají určitě své kořeny v jeho zálibě v „bastlení“, zájmu o moderní technologie a touze pomoct, jak nejlíp to jde.

Související článek Jak je na tom vaše firma s bezpečností? To pomůže analyzovat naše webová aplikace
Nahoru