Компания Microsoft выпустила экстренные обновления безопасности для своего почтового сервера Exchange, исправляющие четыре уязвимости нулевого дня, которыми уже активно пользуются китайские хакеры.
Работающая на китайское правительство APT-группировка Hafnium использует подключенные к интернету серверы жертвы в качестве точки входа в ее внутренние сети. Hafnium известна своими атаками на цели в США, в частности на исследователей в области инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонных подрядчиков и неправительственные организации.
В новой волне атак в нынешнем году группировка эксплуатировала четыре ранее неизвестные уязвимости в Microsoft Exchange. Как сообщают специалисты Microsoft и ИБ-компании Volexity , злоумышленники эксплуатировали эти уязвимости в рамках сложной, состоящей из нескольких частей атаки для обхода механизмов аутентификации, получения привилегий администратора и установки на скомпрометированных серверах web-оболочки ASPX.
Получив доступ к почтовому серверу атакуемой организации, хакеры экспортировали содержимое электронных почтовых ящиков и адресных книг на удаленный сервер. Специалисты ИБ-компании Volexity обнаружили выгрузку данных с почтовых серверов двух ее клиентов. В ходе последующего расследования они раскрыли вредоносную операцию Hafnium и уведомили о ней Microsoft. В свою очередь, Microsoft обнаружила в своем продукте четыре ранее неизвестные уязвимости и выпустила экстренные патчи.
Проблемы затрагивают только почтовые серверы Exchange, установленные в локальной среде, но не Exchange Online.
Ни Microsoft, ни Volexity не раскрывают жертв новой вредоносной операции Hafnium, однако, как сообщил вице-президент Microsoft по доверию и безопасности потребителей Том Берт (Tom Burt), они «проинформировали соответствующие правительственные учреждения США об этой деятельности».