Përpjekjet e shfrytëzimit u vërejtën për herë të parë nga firma e sigurisë kibernetike në Britani të Madhe Volexity të premten dhe u konfirmuan sot për ZDNet nga një burim në DOD.
Volexity nuk i ndau emrat e grupeve të hakerëve që shfrytëzonin këtë ndjeshmëri të Exchange.
Burimi i DOD i përshkroi grupet e hakerëve si “të gjithë lojtarët e mëdhenj”, gjithashtu duke mos pranuar të emëronte grupe ose vende.
Këto grupe të sponsorizuara nga shtetet janë duke shfrytëzuar një lëshim në serverat e postës elektronike të Microsoft Exchange që kishte pasur Microsoft muajin e kaluar.
Dobësia ndiqet nën identifikuesin e CVE-2020-0688. Më poshtë është një përmbledhje e detajeve teknike të kësaj dobësie të sigurisë:
Gjatë instalimit, serverët e Microsoft Exchange nuk arrijnë të krijojnë një çelës unik kriptografik për panelin e kontrollit Exchange.
Kjo do të thotë që të gjithë serverët e postës elektronike të Microsoft Exchange të lëshuar gjatë 10 viteve të kaluara përdorin çelësa të njëjtë kriptografikë për sfondin e panelit të tyre të kontrollit.
Sulmuesit mund të dërgojnë kërkesa të keqformuara në panelin e kontrollit Exchange që përmbajnë të dhëna qëllimkëqija.
Kodi me qëllim të keq funksionon me privilegje sistemin, duke u dhënë sulmuesve kontrollin e plotë të serverit.
Microsoft mbylli problemin e sigurisë më 11 shkurt, kur paralajmëroi gjithashtu administruesit e sistemeve që ta instalojnë sa më shpejt të jetë e mundur, duke parashikuar sulme të ardhshme.
APT dhe bandat e ransomware shpesh e kalojnë pjesën më të madhe të kohës për ta filluar fushatat e phishing, pas të cilave ata marrin kredencialet me email për punonjësit e një kompanie.
Nëse një organizatë zbaton vërtetimin me dy faktorë (2FA) për llogari me email, ato kredencialet janë në thelb të padobishme, pasi hakerët nuk mund të anashkalojnë 2FA.
Marrja përsipër e serverëve të postës elektronike është Kupa e Shenjtë e sulmeve të APT, pasi kjo lejon që grupet e shteteve të përgjojnë dhe të lexojnë komunikimet me email të një kompanie.
Historikisht, APT-të kanë synuar më parë serverat Exchange. APT-të e kaluara që kanë bllokuar Exchange përfshijnë Turla (një grup i lidhur me Rusinë) dhe APT33 (një grup iranian).