NÚKIB žádá firmy o bezodkladné aktualizace technologie Microsoft Exchange Server

O masivním útoku hackerů minulý týden informoval pražský magistrát či ministerstvo práce. Zneužívání systémů podle NÚKIB trvá a vyšetřování pokračuje. Úřad s ohledem na mlčenlivost neposkytuje informace o dotčených subjektech.

Úřad opatřením reaguje na informace z celého světa o závažnosti incidentu a pomalé reakci u českých firem a institucí. Subjekty, které podléhají zákonu o kybernetické bezpečnosti, musejí k aktualizaci okamžitě přistoupit a prověřit, zda jejich systémy nebyly poškozeny. Zjištěné informace pak musejí zaslat kybernetickému úřadu.

„O využití reaktivního opatření jsme uvažovali od začátku, ale jelikož se problém netýká zdaleka jen systémů regulovaných podle zákona o kybernetické bezpečnosti, rozhodli jsme se napřed plošně informovat našimi komunikačními kanály. Postupně přicházející informace z celého světa o závažnosti tohoto incidentu v kombinaci s našimi zjištěními o obecně pomalém postupu subjektů při reakci na tuto hrozbu nás vedly k rozhodnutí reaktivní opatření vydat,“ odůvodňuje aktuální krok ředitel NÚKIB Karel Řehka.

Vydání reaktivního opatření je dalším krokem po několika upozorněních na zranitelnosti technologie Microsoft Exchange Server, které NÚKIB vydal záhy po jejich odhalení. Uvedl i postup pro uživatele.

Tři tisíce nezabezpečených serverů

V Česku jsou ve firmách a institucích téměř tři tisíce poštovních serverů Microsoft Exchange, které by bez opravy nedávno odhalených zranitelností mohli napadnout hackeři. Na tyto zranitelnosti se v současnosti zaměřuje přes deset hackerských skupin. Uvedla to bezpečnostní firma Eset.

Na začátku března vydal Microsoft pro poštovní servery Exchange bezpečnostní záplaty opravující zranitelnosti takzvaného vzdáleného spuštění kódu (RCE). Tato technika umožňuje útočníkovi převzít kontrolu nad jakýmkoliv zranitelným serverem Exchange, který je otevřený do internetu, aniž je nutné znát platné přihlašovací údaje.

„Den po vydání opravy jsme zaznamenali, jak řada útočníků skenuje a kompromituje zranitelné servery Exchange. Zajímavostí je, že kromě známých špionážních skupin prováděla tuto činnost i jedna, která se zaměřuje primárně na aktivity spojené s těžbou kryptoměn. Nicméně je jisté, že se k těmto zranitelným serverům budou chtít rychle dostat i další kyberzločinci, včetně tvůrců vyděračského ransomwaru,“ uvedl technický ředitel Esetu Miroslav Dvořák.

Po celém světě bezpečnostní firmy odhalily přes 5 tisíc napadených serverů ve 115 zemích.

Možnost přístupu na nechráněné servery

Pokud servery nejsou zabezpečeny, hrozí jim neoprávněný přístup útočníků a nejde jen o možnost například neoprávněného čtení pošty a zneužití jejího obsahu, ale také o možnost instalace škodlivého kódu a například zašifrování kompletního obsahu serveru ransomwarem.

Možné jsou i jiné druhy útoku, které mohou celý systém vyřadit z provozu. Nabourání se do e-mailového serveru může rovněž sloužit jako odrazový můstek pro napadení dalších systémů organizace.

Pro organizace podléhající zákonu o kybernetické bezpečnosti je opatření povinné, ostatním uživatelům ji NÚKIB důrazně doporučuje. „Podle našich informací se zneužívání existujících zranitelností aktuálně děje. Pokud existuje podezření, že došlo k trestnému činu (například k neoprávněnému přístupu k počítačovému systému a nosiči informací), je žádoucí nahlásit tento incident Policii ČR,“ dodal NÚKIB.

O masivním kybernetickém útoku na systém veřejné správy informoval minulý týden na Twitteru pražský primátor Zdeněk Hřib (Piráti), data magistrátu podle něj nebyla poškozena. Jedním z cílů hackerů bylo i ministerstvo práce.