Ruskí hackeri našli cestu, ako sa dostať do e-mailových schránok miliónov ľudí. Microsoft varuje, že útoky stále prebiehajú
Ruskí hackeri dokážu nenápadnou cestou získať prístup k e-mailom dôležitých cieľov cez bezpečnostnú dieru v službe Outlook. Microsoft varuje, že útoky stále prebiehajú.
Bezpečnostní experti z Microsoftu sledujú aktivitu ruskej hackerskej skupiny Forest Blizzard, ktorá momentálne vykonáva hackerské útoky vo veľkej škále zneužívajúc slabinu vďaka ktorej sa môžu utajene dostať k e-mailom na serveroch služby Microsoft Exchange. Na tému upozornil portál bleepingcomputer.com.
Skupina útočí na vládny, energetický a dopravný sektor, no cieli aj na iné dôležité organizácie. Útoky prebiehajú naprieč Spojenými štátmi, Európou a Stredným východom. V tomto prípade sa Microsoft spojil aj s Poľským kyberbezpečnostným úradom DKWOC. Experti užívateľom radia, aby aktualizovali Microsoft Outlook na nové verzie najskôr ako to ide.
Hackeri z Forest Blizzard sú sponzorovaní Ruskom a ako sme už spomenuli vyššie, cielia hlavne na vládne organizácie a dôležitú infraštruktúru. Bežne táto skupina operuje tak, že zneužíva verejne známe bezpečnostné slabiny, popri vážnejších bezpečnostných medzerách. Microsoft vysvetľuje, že aktivita skupiny vzrástla minimálne od prvej polovice septembra tohto roku. Forest Blizzard v minulosti využívali napríklad slabinu v softvéri WinRAR. Cez túto slabinu následne vykonávali spear-phishingové útoky.
Nová slabina zneužíva udelenie vyšších práv v programe Microsoft Outlook. Hackeri môžu slabinu využiť, keď obeti pošlú špeciálnu správu, v rámci ktorej sa nachádza parameter PidLidReminderFileParameter. Vďaka tomuto príkazu sa spustí NTLMv2 hash leak, vďaka čomu môže hacker získať potrebné povolenia pre utajený prístup do účtu obete. Bezpečnostní experti zároveň varujú, že obeť nemusí na správu nijak reagovať. Stačí len to, aby bol na počítači s Windowsom otvorený program Outlook.
V momente spustenia škodlivého kódu posiela program Net-NTLMv2 hash na servery SMB. Útočník v tomto prípade získava dve možnosti. Buď využije získanú komunikáciu na prelomenie ďalších systémov podporujúcich NTLMv2 autentifikáciu alebo získanú komunikáciu prelomí a získa heslo. Microsoft informuje, že momentálne sú ohrozené všetky verzie Microsoft Outlook na operačnom systéme Windows.
Neprehliadnite
Bezpečnostní experti monitorujú aktivitu hackerov
Užívatelia na Android, iOS, Mac a tí čo používajú webovú verziu Outlooku ohrození nie sú. Útoky momentálne stále prebiehajú. Microsoft radí udržiavať softvér aktualizovaný a v prípade napadnutia okamžite resetovať heslá na napadnutých účtoch. Odporúča sa mať zároveň zapnuté dvojfaktorové overenie.
Forest Blizzard je podľa slov Microsoftu naozaj šikovnou hackerskou skupinou, ktorej nerobí problém adaptovať sa. Preto jej aktivitu označujú ako mimoriadne rizikovú. Aj práve preto by mali užívatelia v tomto prípade dvojnásobne dbať na bezpečnosť. Po úspešnom útoku si bezpečnostní experti všimli v niektorých prípadoch stopy ďalšej aktivity. Hackeri môžu na základe zneužitia povolení získať trvalý prístup ku všetkým e-mailom napadnutého účtu.
“Útok zneužívajúci NTLMv2 síce nie je v kybersvete novinkou, no spôsob akým táto skupina operuje je jedinečný a nenápadný. Aj keď užívatelia informovali o podozrivých upozorneniach, prvotné bezpečnostné vyšetrovania nenašli žiadnu škodlivú aktivitu. Útok je zároveň zákerný v tom, že si nevyžaduje žiadnu interakciu obete,” vysvetľuje Microsoft.
Aktivitu skupiny Forest Blizzard Microsoft stále monitoruje.
Komentáre