الإصدار الهادئ من التصحيح خارج النطاق لخلل في خادم Microsoft Exchange يتحول بسرعة إلى قصة رئيسية ، مع تقارير موثوقة عن ما لا يقل عن 30000 منظمة في الولايات المتحدة ، وربما مئات الآلاف حول العالم ، تم اختراقها من قبل مجموعة من المتسللين الصينيين ، الذين لديهم الآن سيطرة كاملة على الخوادم والبيانات الموجودة عليها.
تشير تقارير Krebs on Security إلى إصابة عدد كبير من الشركات الصغيرة والبلدات والمدن والحكومات المحلية ، حيث ترك المتسللون وراءهم قذيفة ويب لمزيد من القيادة والسيطرة. يقول خبراء أمنيون إن مجموعة التجسس الإلكتروني الصينية نفسها صعدت بشكل كبير من هجماتها على أي خوادم Exchange ضعيفة وغير مصححة في جميع أنحاء العالم.
في كل حادث ، ترك المتسللون وراءهم "قذيفة ويب" ، وهي أداة اختراق سهلة الاستخدام ومحمية بكلمة مرور يمكن الوصول إليها عبر الإنترنت من أي متصفح يمنح المهاجمين وصولاً إدارياً إلى خوادم الكمبيوتر الخاصة بالضحية.
تحدث اثنان من خبراء الأمن السيبراني شريطة عدم الكشف عن هويتهما ، وقد أبلغا مستشاري الأمن القومي الأمريكي بشأن الهجوم ، كريبس أون سكيورتي بأن مجموعة القرصنة الصينية التي يُعتقد أنها مسؤولة عن هذا الهجوم قد سيطرت على "مئات الآلاف" من خوادم Microsoft Exchange في جميع أنحاء العالم - حيث يمثل كل نظام ضحية تقريبًا مؤسسة واحدة تستخدم Exchange لمعالجة البريد الإلكتروني.
قالت مايكروسوفت إن عيوب Exchange مستهدفة من قبل طاقم قرصنة صيني لم يتم التعرف عليه سابقًا أطلق عليه اسم "Hafnium" ، وقالت إن المجموعة كانت تشن هجمات مستهدفة على أنظمة البريد الإلكتروني التي تستخدمها مجموعة من القطاعات الصناعية ، بما في ذلك باحثو الأمراض المعدية وشركات المحاماة ، مؤسسات التعليم ومقاولي الدفاع ومراكز الفكر السياسي والمنظمات غير الحكومية.
عزت الاستشارات الأولية لمايكروسوفت بشأن عيوب البورصة الفضل في ريستون بولاية فرجينيا إلى Volexity للإبلاغ عن نقاط الضعف. قال رئيس Volexity ستيفن أدير إن الشركة شاهدت لأول مرة مهاجمين يستغلون بهدوء أخطاء Exchange في 6 يناير 2021 ، وهو اليوم الذي كان معظم العالم ملتزمًا بالتغطية التلفزيونية لأحداث الشغب في مبنى الكابيتول الأمريكي.
لكن أدير قال إنه خلال الأيام القليلة الماضية ، تحولت مجموعة القرصنة إلى حالة تأهب قصوى ، وتحركت بسرعة لفحص الإنترنت لخوادم Exchange التي لم تكن محمية بعد من خلال تلك التحديثات الأمنية.
قال أدير: "لقد عملنا على عشرات الحالات حتى الآن حيث تم وضع قذائف الويب على نظام الضحية مرة أخرى في 28 فبراير [قبل إعلان Microsoft عن تصحيحاتها] ، حتى اليوم". "حتى إذا قمت بالتصحيح في نفس اليوم الذي نشرت فيه Microsoft تصحيحاتها ، فلا تزال هناك فرصة كبيرة لوجود غلاف ويب على خادمك. الحقيقة هي ، إذا كنت تقوم بتشغيل Exchange ولم تقم بإصلاح هذا الأمر حتى الآن ، فهناك احتمال كبير أن تكون مؤسستك قد تعرضت بالفعل للاختراق ".
قالت مايكروسوفت ، إنها تعمل عن كثب مع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ، والوكالات الحكومية الأخرى ، وشركات الأمن ، للتأكد من أنها تقدم أفضل توجيه ممكن والتخفيف لعملائها.
قال متحدث باسم Microsoft في بيان مكتوب: "أفضل حماية هي تطبيق التحديثات في أسرع وقت ممكن عبر جميع الأنظمة المتأثرة". "نحن نواصل مساعدة العملاء من خلال توفير المزيد من التحريات وتوجيهات التخفيف. يجب على العملاء المتأثرين الاتصال بفرق الدعم للحصول على مساعدة وموارد إضافية ".
قال أدير إنه تلقى عشرات المكالمات اليوم من وكالات حكومية ومحلية حددت الأبواب الخلفية في خوادم Exchange الخاصة بها وتطلب المساعدة. تكمن المشكلة في أن تصحيح العيوب لا يؤدي إلا إلى حجب الطرق الأربع المختلفة التي يستخدمها المتسللون للدخول. ولكنه لا يفعل شيئًا للتراجع عن الضرر الذي ربما يكون قد حدث بالفعل.
بكل المقاييس ، فإن استئصال هؤلاء المتسللين سيتطلب جهود تنظيف غير مسبوقة وعاجلة على الصعيد الوطني. يقول أدير وآخرون إنهم قلقون من أنه كلما استغرق الضحايا وقتًا أطول لإزالة الأبواب الخلفية ، زاد احتمال أن يتابع المتسللون عن طريق تثبيت أبواب خلفية إضافية ، وربما توسيع الهجوم ليشمل أجزاء أخرى من البنية التحتية لشبكة الضحية. .
عندما أصدرت مايكروسوفت تصحيحات لعيوب Exchange Server الأربعة يوم الثلاثاء ، أكدت مايكروسوفت أن الثغرة الأمنية لم تؤثر على العملاء الذين يشغلون خدمة Exchange Online (البريد الإلكتروني المستضاف على السحابة من Microsoft للشركات). لكن المصادر تقول إن الغالبية العظمى من المنظمات التي وقعت ضحية حتى الآن تشغل شكلاً من أشكال أنظمة البريد الإلكتروني Microsoft Outlook Web Access (OWA) التي تواجه الإنترنت جنبًا إلى جنب مع خوادم Exchange داخليًا.
هذه قصة سريعة عن الموضوع ، ومن المحتمل أن يتم تحديثها على مدار اليوم.
ليست هناك تعليقات:
إرسال تعليق