Bốn khai thác được tìm thấy trong phần mềm Exchange Server của Microsoft được cho là đã dẫn đến hơn 30.000 tổ chức chính phủ và thương mại Hoa Kỳ bị tấn công email của họ, theo một báo cáo của KrebsOnSecurity. Có dây cũng đang báo cáo “Hàng chục nghìn máy chủ email” bị tấn công. Các khai thác đã được vá bởi Microsoft, nhưng các chuyên gia bảo mật nói chuyện với Krebs nói rằng quá trình phát hiện và dọn dẹp sẽ là một nỗ lực lớn đối với hàng nghìn chính quyền tiểu bang và thành phố, sở cảnh sát và phòng cháy chữa cháy, khu học chánh, tổ chức tài chính và các tổ chức khác đã bị ảnh hưởng.
Theo Microsoft, các lỗ hổng này cho phép tin tặc truy cập vào tài khoản email, đồng thời cho phép họ cài đặt phần mềm độc hại có thể cho phép họ quay lại các máy chủ đó sau này.
Krebs và Có dây báo cáo rằng cuộc tấn công được thực hiện bởi Hafnium, một nhóm hack của Trung Quốc. Mặc dù Microsoft chưa nói về quy mô của cuộc tấn công, nhưng cũng chỉ vào cùng một nhóm như đã khai thác các lỗ hổng bảo mật, nói rằng họ “tin tưởng cao” rằng nhóm được nhà nước bảo trợ.
Dựa theo KrebsOnSecurity, cuộc tấn công đã diễn ra kể từ ngày 6 tháng 1 (ngày của cuộc bạo động), nhưng tăng mạnh vào cuối tháng Hai. Microsoft đã phát hành các bản vá của mình vào ngày 2 tháng 3, có nghĩa là những kẻ tấn công có gần hai tháng để thực hiện các hoạt động của chúng. Chủ tịch của công ty an ninh mạng Volexity, nơi phát hiện ra vụ tấn công, nói với Krebs rằng “nếu bạn đang chạy Exchange và bạn chưa vá lỗi này, thì khả năng rất cao là tổ chức của bạn đã bị xâm phạm.”
Cả Cố vấn An ninh Quốc gia của Nhà Trắng, Jake Sullivan và cựu Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng Chris Krebs (không liên quan đến KrebsOnSecurity) đã tweet về mức độ nghiêm trọng của vụ việc.
Đây là thỏa thuận thực sự. Nếu tổ chức của bạn chạy một máy chủ OWA tiếp xúc với internet, hãy giả định thỏa hiệp trong khoảng thời gian từ 02 / 26-03 / 03. Kiểm tra tệp aspx 8 ký tự trong C: inetpub wwwroot aspnet_client system_web . Nếu bạn gặp phải vấn đề về tìm kiếm đó, bạn hiện đang ở chế độ phản hồi sự cố. https://t.co/865Q8cc1Rm
– Chris Krebs (@C_C_Krebs) Ngày 5 tháng 3 năm 2021
Microsoft Đã phát hành một số bản cập nhật bảo mật để sửa các lỗ hổng và đề xuất rằng chúng nên được cài đặt ngay lập tức. Cần lưu ý rằng, nếu tổ chức của bạn sử dụng Exchange Online, nó sẽ không bị ảnh hưởng – việc khai thác chỉ xuất hiện trên tự lưu trữ máy chủ chạy Exchange Server 2013, 2016 hoặc 2019.
Mặc dù một cuộc tấn công quy mô lớn, có khả năng được thực hiện bởi một tổ chức nhà nước nghe có vẻ quen thuộc, Microsoft rõ ràng rằng các cuộc tấn công “không có cách nào kết nối” với các cuộc tấn công SolarWinds đã làm tổn hại đến các cơ quan và công ty của chính phủ liên bang Hoa Kỳ vào năm ngoái.
Có khả năng vẫn còn những thông tin chi tiết về vụ hack này – cho đến nay, vẫn chưa có danh sách chính thức các tổ chức bị xâm nhập, chỉ là một bức tranh mơ hồ về quy mô lớn và mức độ nghiêm trọng của cuộc tấn công.
Người phát ngôn của Microsoft nói rằng công ty đang “làm việc chặt chẽ với [Cybersecurity and Infrastructure Security Agency], các cơ quan chính phủ khác và các công ty bảo mật, để đảm bảo chúng tôi đang cung cấp hướng dẫn và giảm thiểu tốt nhất có thể cho khách hàng của mình, ” và rằng “
.
