تم العثور على أربعة ثغرات في برنامج Microsoft Exchange Server أدت إلى اختراق حوالي 30.000 مؤسسة حكومية وتجارية أمريكية- بما في ذلك أقسام الشرطة والمستشفيات والمنظمات غير الربحية- تم اختراق رسائل البريد الإلكتروني الخاصة بهم. طرحت Microsoft تصحيحًا لإصلاح أربعة ثغرات يوم الصفر في Exchange Server قبل بضعة أيام، لكن هذا لم يمنع مجموعة القرصنة من الاستفادة من الموقف.
وفقًا لـ Microsoft، يتم استهداف الثغرات الأمنية في Exchange Server من قبل مجموعة قرصنة صينية غير معروفة سابقًا تُعرف باسم Hafnium. في الأيام التي تلت إصدار Microsoft التصحيح لـ Exchange، قيل إن المجموعة ضاعفت بشكل كبير من جهودها، مستهدفة خوادم غير مصححة في جميع أنحاء العالم والوصول إلى حسابات حوالي 30 ألف مؤسسة أمريكية. ويقال أن هذا يشمل الحكومات المحلية والبنوك ووحدات الائتمان، وكذلك أقسام الشرطة والمستشفيات والمنظمات غير الربحية.
يوضح Krebs on Security: "في كل حادث، ترك المتسللون وراءهم" قذيفة ويب web shell"، وهي أداة اختراق سهلة الاستخدام ومحمية بكلمة مرور يمكن الوصول إليها عبر الإنترنت من أي متصفح. تمنح قذيفة الويب المهاجمين حق الوصول الإداري إلى خوادم كمبيوتر الضحية".
على الرغم من أن الهجمات انفجرت في الأيام الأخيرة، فقد ورد أن الجماعة كانت تستغل نقاط الضعف منذ أوائل يناير. في الواقع، كانت الهجمات الأولى تستهدف المستخدمين بهدوء في 6 يناير 2021- وهو اليوم الذي كانت فيه كل الأنظار مركزة على مبنى الكابيتول الأمريكي.
وفقًا لـ Microsoft، يتم استهداف الثغرات الأمنية في Exchange Server من قبل مجموعة قرصنة صينية غير معروفة سابقًا تُعرف باسم Hafnium. في الأيام التي تلت إصدار Microsoft التصحيح لـ Exchange، قيل إن المجموعة ضاعفت بشكل كبير من جهودها، مستهدفة خوادم غير مصححة في جميع أنحاء العالم والوصول إلى حسابات حوالي 30 ألف مؤسسة أمريكية. ويقال أن هذا يشمل الحكومات المحلية والبنوك ووحدات الائتمان، وكذلك أقسام الشرطة والمستشفيات والمنظمات غير الربحية.
يوضح Krebs on Security: "في كل حادث، ترك المتسللون وراءهم" قذيفة ويب web shell"، وهي أداة اختراق سهلة الاستخدام ومحمية بكلمة مرور يمكن الوصول إليها عبر الإنترنت من أي متصفح. تمنح قذيفة الويب المهاجمين حق الوصول الإداري إلى خوادم كمبيوتر الضحية".
على الرغم من أن الهجمات انفجرت في الأيام الأخيرة، فقد ورد أن الجماعة كانت تستغل نقاط الضعف منذ أوائل يناير. في الواقع، كانت الهجمات الأولى تستهدف المستخدمين بهدوء في 6 يناير 2021- وهو اليوم الذي كانت فيه كل الأنظار مركزة على مبنى الكابيتول الأمريكي.
Thoughts on the Hafnium Exchange hack: (1) it's going to disproportionately impact those that can least afford it (SMBs, Edu, States, locals), (2) incident response teams are BURNED OUT & this is at a really bad time, (3) few orgs should be running exchange servers these days. https://t.co/bc5yutThve
— Chris Krebs (@C_C_Krebs) March 6, 2021
توضح Microsoft أن الخوادم ذاتية الاستضافة التي تعمل بنظام Exchange Server 2013 أو 2016 أو 2019 معرضة للخطر ويجب تنزيل تصحيح الأمان الخاص بها على وجه السرعة. إذا كانت مؤسستك تستخدم Exchange Online، فلن تتأثر بذلك.
