Ini Musim Terbuka untuk Peretasan Server Microsoft Exchange


Spionase besar-besaran pesta peretasan yang disponsori negara oleh kelompok peretasan China telah memukul setidaknya 30.000 korban di Amerika Serikat saja. Kerentanan Exchange Server yang dimanfaatkan oleh grup yang dikenal sebagai Hafnium telah ditambal, tetapi masalahnya masih jauh dari selesai. Sekarang peretas kriminal dapat melihat apa yang telah diperbaiki Microsoft, mereka dapat merekayasa balik eksploitasi mereka sendiri, membuka pintu untuk meningkatkan serangan seperti ransomware pada siapa pun yang masih terekspos.

Seminggu sejak Microsoft pertama kali merilis tambalannya, dinamika tampaknya sudah mulai berjalan. Analis telah melihat banyak kelompok, sebagian besar masih belum teridentifikasi, terlibat dalam tindakan dalam beberapa hari terakhir, dengan lebih banyak peretas kemungkinan masih akan datang. Semakin lama organisasi membutuhkan waktu untuk menambal, semakin besar potensi masalah yang akan mereka hadapi.

Sementara banyak organisasi yang mendapatkan layanan email dari Microsoft menggunakan penawaran cloud perusahaan, yang lain memilih untuk menjalankan server Exchange sendiri “di tempat”, yang berarti bahwa mereka secara fisik memiliki dan mengoperasikan server email serta mengelola sistem. Microsoft mengeluarkan tambalan untuk empat kerentanan dalam perangkat lunak Exchange Server pada Selasa lalu dan mengatakan dalam peringatan awal itu bahwa kelompok peretasan yang didukung negara China Hafnium berada di balik pesta besar itu. Juga dipastikan minggu ini bahwa serangan tidak berhenti.

“Microsoft terus melihat banyak aktor mengambil keuntungan dari sistem yang belum ditambal untuk menyerang organisasi dengan Exchange Server di tempat,” kata perusahaan itu dalam pembaruan pada hari Senin.

Malam itu, Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri menegaskan kembali kebutuhan mendesak bagi organisasi yang rentan untuk mengambil tindakan. “CISA mendesak SEMUA organisasi di SEMUA sektor untuk mengikuti panduan guna mengatasi eksploitasi domestik dan internasional yang meluas dari kerentanan produk Microsoft Exchange Server,” agensi tersebut tweeted.

Seburuk apa pun saat ini dengan eksploitasi Exchange, responden insiden mengantisipasi bahwa segala sesuatunya bisa menjadi lebih buruk tanpa tindakan.

“Ada titik perubahan di mana ini berpindah dari tangan operator spionase ke tangan penjahat dan berpotensi open source,” kata John Hultquist, wakil presiden analisis intelijen di firma keamanan FireEye. “Untuk itulah kami semua menahan napas saat ini, dan mungkin saat ini sedang terjadi.”

Tambalan sangat penting untuk melindungi organisasi, tetapi peneliti dan penyerang juga dapat menggunakannya untuk mempelajari kerentanan yang mendasarinya dan mencari cara untuk mengeksploitasinya. Perlombaan senjata itu tidak mengurangi pentingnya mengeluarkan perbaikan, tetapi berpotensi mengubah serangan yang digerakkan oleh spionase menjadi serangan jarak dekat yang merusak.

“Saya menduga bahwa orang-orang akan mencari cara untuk mengeksploitasi kerentanan ini yang tidak ada hubungannya dengan Hafnium atau teman-teman mereka,” kata Steven Adair, CEO perusahaan keamanan Volexity, yang pertama kali melihat kampanye peretasan Exchange Server, dalam sebuah wawancara terakhir. minggu. “Orang-orang yang menambang Cryptocurrency dan orang-orang ransomware akan masuk ke dalam permainan ini.”

Analis intelijen ancaman di perusahaan keamanan Red Canary dan Binary Defense sudah melihat indikasi bahwa penyerang sedang meletakkan dasar untuk menjalankan cryptominers di server Exchange yang terbuka.

Situasi yang sudah lemah akan menjadi jauh lebih buruk setelah seseorang secara terbuka merilis eksploitasi bukti konsep, yang pada dasarnya menyediakan alat peretasan cetak biru yang dapat digunakan orang lain. “Saya tahu beberapa tim peneliti sedang mengerjakan eksploitasi bukti konsep agar mereka dapat melindungi dan membela pelanggan mereka,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Hal yang membuat semua orang gugup saat ini adalah jika seseorang menerbitkan bukti konsep.”

Ini mulai terasa semakin seperti keniscayaan. Pada hari Selasa, para peneliti di perusahaan keamanan perusahaan Praetorian merilis laporan tentang eksploitasi yang telah mereka kembangkan untuk kerentanan Exchange. Perusahaan mengatakan itu membuat pilihan sadar untuk meninggalkan beberapa detail utama yang memungkinkan hampir semua penyerang, terlepas dari keahlian dan keahlian mereka, untuk mempersenjatai alat tersebut.

“Meskipun kami telah memilih untuk menahan diri dari melepaskan eksploitasi penuh, kami tahu eksploitasi lengkap akan segera dirilis oleh komunitas keamanan,” tulis para peneliti. “Kami percaya jam / hari di antaranya akan memberikan waktu tambahan bagi pelanggan kami, perusahaan , dan negara-negara sama-sama menambal kerentanan kritis. “


Diposting oleh : SGP Prize