Неверные действия Microsoft привели к недавнему громкому взлому избирательной комиссии Великобритании

Неверные действия Microsoft привели к недавнему громкому взлому избирательной комиссии Великобритании

Специалисты устранили две 0-day уязвимости лишь через 6 недель после обнаружения, их нерасторопность привела к серьёзным последствиям.

image

Все больше данных указывает на то, что причиной одного из крупнейших взломов в истории Великобритании — взлома Избирательной комиссии страны, который мы освещали несколько дней назад, стала пара критических уязвимостей в Microsoft Exchange. В результате атаки были скомпрометированы данные, по предварительным оценкам, до 40 миллионов жителей.

Представители Избирательной комиссии впервые публично сообщили о взломе в минувший вторник. Они заявили, что обнаружили вторжение в свои сети ещё в октябре прошлого года, когда и заметили подозрительную активность.

Оказалось, что злоумышленники получили доступ к системам ещё в августе 2021 года. То есть хакеры находились в сети комиссии целых 14 месяцев, прежде чем их заметили и прогнали оттуда. При этом комиссия по какой-то причине ждала ещё девять месяцев после инцидента, чтобы уведомить общественность об утечке.

В результате взлома хакеры получили доступ к множеству персональных данных, включая имена и адреса людей, зарегистрированных для голосования на различного рода выборах с 2014 по 2022 год. Представители комиссии заявили, что число затронутых избирателей может достигать 40 миллионов человек. При этом комиссия пока официально не назвала ни причину взлома, ни способ первоначального проникновения в свои системы.

Тем не менее, некоторые недавние расследования, проведённые внешними экспертами, указывают на то, что входным каналом стала пара критических уязвимостей в Microsoft Exchange Server, которым пользуются крупные организации для управления почтовыми ящиками.

Уязвимости, отслеживаемые как CVE-2022-41080 и CVE-2022-41082 , но также известные под общим названием ProxyNotShell, представляют собой цепочку удалённого выполнения кода. Они оставались неисправленными более месяца после обнаружения, в течение которого активно использовались в атаках для установки вредоносных веб-оболочек на уязвимых серверах.

Компания Microsoft в то время выпустила руководство по смягчению угрозы, однако не посчитала нужным сразу же исправлять эти уязвимости. Компания устранила выявленные недостатки безопасности лишь 8 ноября, через шесть недель после подтверждения существования активно эксплуатируемой цепочки уязвимостей нулевого дня.

Через несколько недель после обнаружения нулевых дней исследователь Кевин Бомонт сообщил , что рекомендованные Microsoft меры смягчения можно легко обойти. Вчера исследователь снова прошёлся с критикой по Microsoft: во-первых, за предоставление неверных рекомендаций по безопасности, а во-вторых, за то, что на выпуск исправлений ушло аж три месяца.

Ссылаясь на результаты поиска устройств Shodan, эксперты пришли к выводу, что вплоть до конца сентября 2020 года избирательная комиссия Великобритании использовала доступный из интернета локальный сервер Exchange с веб-приложением Outlook. Поиск также показывает, что сотрудники комиссии в последний раз обновляли ПО сервера в августе — в тот же месяц, когда начали активно использоваться эксплойты.

Данный киберинцидент является напоминанием о том ущербе, который может быть нанесён при злоупотреблении совершенно обычным ПО в государственных учреждениях. Также это подчёркивает потенциальные риски, когда поставщики не предоставляют своевременные обновления для своих продуктов или же выпускают неверные рекомендации по безопасности.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь