Как минимум одна уязвимость в Microsoft Exchange активно эсплуатируется несколькими кибершпионскими группировками.
Подразделение по кибербезопасности Министерства внутренней безопасности США обязало федеральные гражданские управления установить обновления, исправляющие уязвимости в популярном почтовом ПО, которые уже эксплуатируются хакерами.
Согласно "экстренной директиве" Агентства кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), управления должны либо установить обновления, либо прекратить использовать ПО, если были обнаружены свидетельства эксплуатации уязвимости.
Речь идет о недавно исправленных уязвимостях нулевого дня в Microsoft Exchange Server. Как сообщалось на днях, уязвимости активно эсплуатируются работающей на китайское правительство APT-группой Hafnium для доступа к почтовым серверам атакуемых компаний. Хакеры используют эти серверы в качестве точки входа во внутренние корпоративные сети.
Как сообщают специалисты ИБ-компании ESET, по крайней мере одна уязвимость (CVE-2021-26855) активно эсплуатируется несколькими кибершпионскими группировками. Помимо Hafnium, уязвимостью пользуются такие группировки, как LuckyMouse, Tick и Calypso. Большая часть жертв находится в США, но эксперты также фиксировали атаки на серверы в Европе, Азии и Среднем Востоке. В основном жертвами киберпреступников являются правительственные организации, юридические фирмы, частные компании и медучреждения.
Серверы Exchange используется в федеральном правительстве США, а электронная переписка официальных лиц является ценным материалом для иностранных шпионов. Удалось ли злоумышленникам взломать в ходе вредоносной кампании какие-либо федеральные агентства, неизвестно, но директива CISA подчеркивает безотлагательность угрозы. Агентство подчеркнуло вероятность массовой эксплуатации уязвимостей после того, как о них стало известно широкой общественности.
Первое — находим постоянно, второе — ждем вас