• Jiří Palyza

Exchange Server: Kritické zranitelnosti v jednom z nejpopulárnějších emailových serverů

Bylo to na jaře loňského roku, kdy se objevila první varování bezpečnostních expertů před skupinou sofistikovaných útočníků, kteří se snažili zneužívat zranitelnosti nultého dne v Exchange Serveru. Bezpečnostní rizika umožňovala přistupovat ke komunikaci uživatelů, krást data, případně ovládnout napadené účty. A v průběhu času to mělo rozsáhlé důsledky

Zranitelnosti poštovní služby byly na úrovni serveru, proto jimi byly dotčeny jak organizace, tak i koncoví uživatelé. K souvisejícím útokům došlo i u nás. Své zkušenosti s tím má například Magistrát hl. m. Prahy nebo Ministerstvo práce a sociálních věcí.


Společnost CheckPoint, zabývající se kybernetickou bezpečností, v té souvislosti uvádí, že 83 % všech útoků v uplynulém roce začalo škodlivým e-mailem. Řada nejvýznamnějších kybernetických útoků také využívala osvědčený scénář: v některé z populárních platforem jsou objeveny zranitelnosti, sice je už pro jejich řešení vydána odpovídající záplata, ale není instalována automaticky. V mezidobí stihnou situaci zneužít kyberzločinci.


V případě problému Exchange serveru se jednalo o zneužití chyby, umožňující vzdálené spuštění kódu (RCE,What is Remote Code Execution). Útočníci tak mohou získat přístup ke všem registrovaným e-mailovým účtům, případně mohou tímto způsobem vzdáleně spustit jakýkoliv škodlivý software. To ale může být pouze začátek masivnějších kampaní, které vedou k rozsáhlým průnikům do interních systémů, vedoucích až k šíření ransowarového kódu a vydírání obětí. To potvrdili i zástupci finské kyberbezpečnostní firmy F-Secure. Bezpečnostní úřady v mnoha zemích v té souvislosti vydaly nejvyšší stupeň varování.


Zero-day zranitelnosti mají ze své podstaty velmi komplikovanou prevenci, což ji ale nevylučuje. Kromě neprodlené instalace dostupných aktualizací a bezpečnostních záplat, které by měly řešit pravidla "patch managementu", se také doporučuje nasazení dalších prvků ochrany na úrovni síťové komunikace. Jen v České republice byly v loňském roce bezmála tři tisíce otevřených Exchange serverů, kterým hrozilo riziko.


Google má svůj Bounty program, kde motivuje výzkumníky či potenciální útočníky aby případnou chybu nahlásili. Za toto informování jsou vypláceny vysoké odměny


Neopravené firemní servery se stávají také cílem pro zneužívání instalací kódu pro těžbu kryptoměny. Cílem této vlny útoků byl finanční zisk a v této souvislosti už u napadených serverů nešlo pouze o únik informací z poštovního serveru. Software na těžbu kryptoměn spotřebovává na hostitelském systému výpočetní výkon a přináší dodatečné náklady na elektrickou energii. To se v současné době stává zvlášť citlivé také v souvislosti s její rostoucí cenou.


Podle odhadů IT odborníků byly prostřednictvím zranitelnosti Exchange Serveru infikovány desítky tisíc e-mailových serverů po celém světě. Útočníci z velké části zneužili i skutečnost, že aktualizace je nutné instalovat ručně a ne všichni zákazníci byli schopni reagovat rychle. Zranitelnosti se ale týkaly pouze těch organizací a firem, které provozují poštovní server samy. Online verze služeb byly včas provozovatelem ošetřeny.


V komplexní a turbulentní době se vyplácí firmám předcházet na poskytování software formou služby (SaaS). Balík aplikací Google Workspace v sobě obsahuje i emailovou aplikaci Gmail, která kombinuje jak webového poštovní klienta tak zároveň může fungovat i jako emailový server.



Pokud firma i nadále chce využívat Microsoft Outlook, tak využije bezplatný synchronizační nástroj Google Workspace Sync for Microsoft® Outlook.


Aplikaci Gmail používá celosvětově víc jak 1,5 miliardy uživatelů, kteří svěřují svá data Google. Dostávají tak spolehlivé a robustní řešení, které umí odfiltrovat kolem 10 milionů spamů každou minutu.

Pokud i vy chcete používat bezpečné prostředí pro vaše firemní data, ozvěte se nám na ahoj@appsatori.eu



Blog