نقص امنیتی Exchange Server مایکروسافت و هک شدن ایمیل ۳۰ هزار سازمان

خبرگزاری ورج در گزارشی به ‌نقل از KrebsOnSecurity، می‌نویسد چهار نقص امنیتی در Microsoft Exchange Server باعث شده است ایمیل بیش از ۳۰ هزار نهاد دولتی و تجاری در ایالات متحده‌ی آمریکا هک شود. وایرد نیز ادعا کرده است «ده‌ها هزار سرور ایمیل» هک شده‌اند.

ظاهرا این نقص‌های امنیتی توسط مایکروسافت رفع شده‌اند؛ اما متخصصان امنیتی می‌گویند شناسایی و پاک‌سازی به تلاشی عظیم از سوی هزاران اداره‌ی ایالتی و شهری، آتش‌نشانی و پلیس، حوزه‌ی آموزشی، مؤسسه‌های مالی و دیگر نهادهایی که از هک متأثر شده‌اند نیاز دارد.

براساس اطلاعیه‌ی مایکروسافت، آسیب‌پذیری Exchange Server هکرها را قادر ساخته‌ است به حساب‌های ایمیل دسترسی پیدا کنند. هکرها با استفاده از آسیب‌پذیری‌ توانایی نصب بدافزار داشتند تا از طریق آن، بار دیگر به سرور بازگردند.

KrebsOnSecurity و وایرد می‌گویند این حمله‌ی سایبری توسط یک گروه هکر چینی با نام Hafnium انجام شده است. مایکروسافت هنوز از مقیاس حمله‌ی سایبری پرده‌برداری نکرده؛ اما می‌گوید Hafnium از آسیب‌پذیری‌ Microsoft Exchange Server بهره‌برداری کرده است. مایکروسافت اطمینان دارد گروه هکر Hafnium توسط دولت چین حمایت می‌شود.

به گفته‌ی KrebsOnSecurity، حمله‌ی سایبری به نرم‌افزار Exchange Server از ۶ ژانویه‌ی ۲۰۲۱ (۱۷ دی ۱۳۹۹) یعنی همان روزی که معترضان به ساختمان محل برگزاری جلسه‌های کنگره در ایالات متحده‌ی آمریکا هجوم بردند آغاز شده و در اواخر ماه فوریه‌ی ۲۰۲۱ (اوایل اسفند ۱۳۹۹) با شدت بیشتری ادامه پیدا کرده است. مایکروسافت در روز ۲ مارس ۲۰۲۱ (۱۲ اسفند ۱۳۹۹) به‌روزرسانی‌های لازم را برای برطرف‌ کردن نقص امنیتی در دسترس قرار داد و این یعنی هکرها تقریبا دو ماه زمان داشته‌اند تا کارهای مورد نظر را انجام بدهند.

مدیر Volexity در حوزه‌ی امنیت سایبری که پیش از بقیه موفق شد این حملات سایبری را کشف کند، به KrebsOnSecurity گفته است اگر مشغول استفاده از Exchange هستید و هنوز به‌روزرسانی را نصب نکرده‌اید، «احتمال بسیار زیادی» وجود دارد که شرکت شما تحت تأثیر حملات اخیر قرار گرفته باشد.

مایکروسافت تاکنون چند به‌روزرسانی امنیتی منتشر کرده است تا تمامی آسیب‌پذیری‌ها را رفع کند. شرکت ردموندی به نهادها می‌گوید فورا این به‌روزرسانی‌ها را نصب کنند. اگر مشغول استفاده از Exchange Online هستید، از حملات اخیر متأثر نشده‌اید. ظاهرا نقص امنیتی صرفا روی سرورهای Self-Hosted مجهز به Exchange Server 2013،اExchange Server 2016 و Exchange Server 2019 حضور دارد.

حمله‌ای سایبری در ابعاد گسترده که احتمالا توسط هکرهای دولتی انجام شده باشد،‌ اتفاقی آشنا است و ما را یاد حادثه‌ی سولار ویندز می‌اندازد. بیش از ۱۰۰۰ مهندس کامپیوتر در اقدامی برنامه‌ریزی‌شده حملاتی گسترده و بلندمدت علیه یکی از نرم‌افزارهای سازمانی بسیار محبوب SolarWinds انجام داده‌اند و ده‌ها هزار شرکت را متأثر کرده‌اند. مایکروسافت صراحتا می‌گوید هکرهای Exchange Server هیچ ارتباطی به حملات SolarWinds ندارند.

در حال حاضر اطلاعات زیادی درباره‌ی حمله به Exchange Server مایکروسافت نداریم و احتمالا در آینده‌ی نزدیک جزئیات بیشتری در این زمینه رسانه‌ای شود. مایکروسافت فعلا فهرست رسمی شرکت‌هایی که به ‌دلیل نقص امنیتی Exchange Server هک شده‌اند منتشر نکرده است.

به گفته‌ی نماینده‌ی مایکروسافت، این شرکت در حال همکاری نزدیک با آژانس امنیت سایبری و زیرساخت و دیگر نهادهای دولتی و شرکت‌های امنیتی است تا بهترین رهنمود را به مشتریان ارائه بدهد. شرکت ردموندی می‌گوید در حال حاضر بهترین راهکار حفاظتی،‌ نصب به‌روزرسانی‌ در سریع‌ترین زمان ممکن روی تمامی سیستم‌های متأثر است.