Čo by bolo keby? Edícia “Keby neexistoval on-prem Exchange”.

AXENTA CSIRT CyberSOC

Mali by sme (pravdepodobne) oveľa pokojnejší začiatok marca. Presne to by bolo. Všetci by sme mali pokojnejší marec, viac spánku, viac času na rodinu, NÚKIB by nemusel vydávať reaktívne opatrenie…a tiež by si všetky naše e-maily nečítali rôzne hackerské skupiny, plnú kontrolu nad našimi Exchange servermi by nemohol získať hocikto, nevznikol by ransomvér DearCry, bolo by o tisícky hacknutých Exchange serverov menej, ďalší výčet je ponechaný láskavému čitateľovi.

Z tohto pohľadu zamrzí, že on-prem Exchange existuje. A tiež zamrzí, že v ňom boli nájdené zraniteľnosti, ktoré umožňovali prebrať naddaným Exchange serverom plnú kontrolu. Ešte viac zamrzí, že v čase zverejnenia informácii o zraniteľnostiach (a opravnej aktualizácie, nech sme féroví k Microsoftu), tieto už boli takmer 2 mesiace(!) zneužívané rôznymi skupinami útočníkov. Jednoducho sa k nim tí “zlí chlapci” dostali skôr.

AxentaNehovoriac o tom, že pár hodín po zverejnení sa pridali ďalší útočníci, ktorí dokázali prísť na spôsob, ako dané zraniteľnosti zneužiť a rozpútalo sa hotové peklo. Takmer každý Exchange server vystavený do internetu bol zraniteľný a veľmi pravdepodobne v priebehu niekoľkých desiatok hodín po zverejnení zraniteľností aj úspešne hacknutý.

Dalo sa predísť zraniteľnostiam? Prakticky nie, tie budú v ľubovoľnom softvéri vždy. Avšak dali sa urobiť preventívne opatrenia, napr. obmedziť prístup k webovému rozhraniu Exchange, alebo…zahodiť on-prem Exchange a používať cloudový O365. Aj bez týchto opatrení ste na tom nemuseli byť úplne zle, ak by ste mali dobrého partnera, ktorý by vám pomohol v kyberbezpečnosti.

Medzi služby AXENTA CyberSOC patrí aj upozorňovanie na závažné zraniteľnosti v infraštruktúre zákazníka. Táto služba umožnila našim zákazníkom zabrániť ďalšiemu zneužitiu ich zraniteľných Exchange serverov už do niekoľkých minút po oficiálnom zverejnení zraniteľností. Vďaka službe bezpečnostného monitoringu tiež hneď vedeli, či ich servery boli v minulosti napadnuté zneužitím týchto zraniteľností alebo nie.

Naši zákazníci, ktorí boli napadnutí, však vedeli, že nemusia vešať hlavu, keďže mali k dispozícii náš AXENTA CSIRT tím, ktorý im bezodkladne pomohol pri reakcii na tento kybernetický incident (viac viď https://sk.ict-nn.com/2020/10/21/blizsie-o-ulohach-csirt-timu-v-organizacii/ a https://sk.ict-nn.com/2021/01/21/hackli-nas-co-teraz/ ) aby mohli čo najskôr obnoviť svoju bežnú činnosť v plnom rozsahu.

Väčšina spoločností však takéto šťastie nemala a vysporiadať sa s týmto problémom im trvalo oveľa dlhšie. Niektoré ešte možno ani nevedia, že ich e-maily už niekoľko týždňov nečítajú len oni. Hovorí sa, že šťastie praje pripraveným. Naši zákazníci, aj vďaka nám, pripravení boli. Buďte pripravení aj vy!

Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.

Pridaj komentár