Praha - Hackeři začali opět ve velké míře zneužívat zranitelnost e-mailových serverů Microsoft Exchange. Nejvíce případů zneužití bylo detekováno v USA a Německu. S ohledem na celosvětovou rozšířenost softwaru je riziko útoků stále vysoké i pro Českou republiku, kde bezpečnostní specialisté aktuálně evidují několik stovek serverů, které dosud nemají aktualizace a opravy. Uvedla to antivirová firma Eset.

Podle zjištění Esetu využívají řetězec zranitelností ProxyShell v MS Exchange hackerské skupiny TA410, TA428, SparklingGoblin, RedFoxtrot a jeden dosud neidentifikovaný aktér. Ti se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.

Skupiny se primárně zaměřují na různé geografické oblasti s převahou cílů v Asii. Podle posledních zjištění patří jejich oběti konkrétně do podnikatelského sektoru, státní i akademické sféry v Maďarsku, Pákistánu, Hongkongu či Japonsku.

Zranitelnost označovaná jako ProxyShell navazuje na již dříve odhalenou zranitelnost ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem roku 2021.

"Obě zranitelnosti souvisí se službou Microsoft Exchange, v případě novější objevené zranitelnosti ProxyShell útočníci zneužívají chybu ve vrstvě Client Access Service, kterou Microsoft původně přidal k lepší ochraně e-mailových serverů. V obou případech je znepokojující to, že zranitelnosti umožňují vzdálené spouštění kódu bez přístupových údajů k serveru," uvedl dnes technický ředitel Esetu Miroslav Dvořák.

Zločinecké skupiny v těchto případech zřejmě využily zranitelnost ProxyShell k instalaci kódu webshell na e-mailové servery obětí. Po zneužití zranitelnosti a nasazení webshellu se podle pozorování snažily na servery nainstalovat další škodlivý kód.