Hackertámadás a Microsoft ellen: kit érint pontosan az Exchange botrány?

2021-04-14 17:14


2021 januárjában komoly támadás érte a Microsoft Exchange levelezőrendszerét. A Big Tech vállalat azonnal el is ismerte a hibát és igyekezett javítani azt. Február második felében azonban a probléma újból jelentkezett. Kiderült, hogy a komoly, veszélyes és összehangolt akció mögött kínai hackerek állhattak. Az esetet az amerikai Fehér Ház (is) “aktív fenyegetésnek” minősítette, miközben a kínai kormány azt állítja: azzal, hogy az amerikaiak a pekingi kormányt gyanúsítják a támadás megszervezésével, vékony politikai jégre tévedtek. Nem a diplomácia azonban a legnagyobb gond, amire a támadás rámutat.

Több százezer vállalat e-mailjeit olvashatták el

A washingtoni Ms. Somebody egyik reggel arra ébredt, hogy a személyes és a munkahelyi e-mail fiókját is feltörték. A hölgy egy nagy “think tank”-nél, kutatócégnél dolgozott, így nemsokára az FBI is kopogtatott az ajtaján. Az ügynökök közölték vele, hogy valaki a nevében meglehetősen valósnak látszó üzeneteket küldözgetett. Bár tudják, hogy nem ő állt a megtévesztő, “phishingnek” látszó üzenetek mögött, szeretnének több információhoz jutni az esetről. Ekkor kiderült, nem ő volt az egyetlen, akit a probléma érintett.

2021 január 5-én a DEVCORE nevű, biztonsági teszteléssel foglalkozó cég fejlesztői, támadás nyomaira bukkantak az egyik Microsoft Exchange szerveren. Az adatokat meg is osztották az említett Big Tech vállalattal, majd három nappal később jelezték, hogy a szoftveróriás nyilvánosan elismerte a problémát. A cég a hónap végén létrehozta a proxylogon.com oldalt, ahol követni lehetett mindent, amit a támadásról sikerült megtudni.

Január végén a Dubex nevű, hasonló szakmai körökben forgó cég is jelentette a Microsoftnak, hogy talán nagyobb a baj, mint gondolták. Az Exchange megint támadás alatt áll, ezúttal eddig ismeretlen sérülékenységet találtak a behatolók.

A biztonságtechnikai cégek már januárban jelezték: támadás alatt állnak az exchange szerverek

A Microsoft március 9.-ére ígért megoldást, de végül március 2.-án sikerült kihoznia a patcheket, vagyis a biztonsági javításokat. A probléma méretét mutatja, hogy még a 2010-es verziójú, már nem támogatott környezetet használó szerverek is kaptak frissítést, a biztonsági rés tehát már több mint 10 éve is jelen volt.

A kiberbiztonsági szakemberek világszerte igyekeztek versenyt futni az idővel és mindenkit figyelmeztetni a javításra. Március 12.-én még 82.000 olyan szerver volt, amelyeket nem javítottak. Az ESET nevű biztonsági cég pedig jelezte, hogy legalább 10 túlterheléses támadást fedezett fel, amelyek az Exchange hibájához köthetőek - ezeket valószínűleg más kiberbűnözők követték el, akiknek a hírek hatására szintén sikerült felkutatniuk a gyenge pontokat.

Március 10.-én, egy nappal a tervezett biztonsági frissítés kiadása után a GitHub-on is megjelent egy még működő, a biztonsági rés kihasználását lehetővé tevő kód. Ezt a Microsoft gyorsan eltávolította a platformról, amelynek egyébként maga a vállalat a tulajdonosa.

Ritka az ilyen összehangolt támadás

Biztonsági szakértők úgy vélik, ahhoz, hogy valaki ilyen méretű támadást tudjon végrehajtani, komoly felkészültségre van szüksége. A hackerek először rávették a szervereket, hogy kommunikáljanak velük, ezáltal bejutottak a rendszerbe. Később a “unified messaging” nevű szolgáltatás segítségével egy fertőzött hangüzenetet tartalmazó fájlt juttattak a rendszerbe. A program trójai falóként új fájlokat hozott létre és igyekezett tovább növelni a támadási felületet.

A “Unified messaging” főleg az okostelefonos kommunikációban lett kulcsfontosságú.

Az ilyen támadások nem ritkák, de általában kisebb méretekben használják őket, méghozzá akkor, amikor a hackereknek nincsen vesztenivalója: tudják, hogy javítani fogják a hibát, ezért igyekeznek minél inkább kihasználni azt, adatokat megszerezni vagy előkészíteni egy jövőbeni támadást, amelyet a javítás után is véghez tudnak vinni.

A hiba ideje alatt a hackerek bárkinek a leveleit elolvashatták, ráadásul megnyitották a kapukat más kiberbűnözők előtt is. Sokak szerint a baj azonban ennél is nagyobb. A Microsoft ugyanis valamit elhallgat.

Kiskapu, csak másképpen?

Nem ez az első, hogy komoly támadás ért valamilyen nagyobb szolgáltatót, de ritka, hogy egy hasonló eset ilyen erejű politikai hullámot verjen. A mostani botrány körül több dolog is sántít. Az egyik kérdés, hogy vajon miért nem reagált gyorsabban a cég egy ennyire régóta fennálló problémára, és hogyan volt lehetséges az, hogy a januári jelzés után a hackerek képesek voltak kvázi egy második hullámot generálni?

Egyes források tudni vélik: a Microsoft már a DEVCORE jelzése előtt is ismerhette a kiskaput. A cég azonban a Twitteren is jelezte, hogy mit talált, a Microsoft pedig tudta: jobban jár, ha az ügy nagyobb nyilvánosságra kerülése előtt elismeri a problémát. A scheneier.com bloggere úgy gondolja: a szoftveróriás valószínűleg ad egy kis időt a nemzetbiztonsági szerveknek, hogy maguk is kihasználják a biztonsági rést. Ahogyan a szerző fogalmaz: hogy “pontosan azt tegyék, mint a kínaiak.”

A Schneier.com állításai kissé meredeken hangzanak, a különböző szervezetek azonban folyamatosan követelik, hogy a nagyvállalatok nyissanak biztonsági kiskaput a titkosításon a bűnüldözési szerveknek. Ezekre a követelésekre a biztonságtechnikai szakemberek mindig heves tiltakozással reagálnak, hiszen egy szándékos backdoor beépítése után lehetetlen lenne megakadályozni, hogy valaki illetéktelenül használja vagy lemásolja a “kapukulcsot”.

Az állításra természetesen nincsen bizonyíték, de tény, hogy minél zártabban működik egy rendszer, annál lassabban fog reagálni a vállalat az esetleges problémákra, és annál kevesebbet tudunk meg arról, hogy mi történhet valójában a “motorháztető alatt”. A zárt forráskódú rendszerek, pláne, ha azok egy Microsofthoz hasonló óriás kezében vannak, valójában semmivel sem biztonságosabbak egy nyílt forráskódú alternatívánál.

Mit tanít az eset a zárt rendszerről?

A kiberbűnözőknek sokféle célja lehet. Ha a saját erejüket fitogtató “script kiddie”- ket ki is hagyjuk a számításból, akkor is lehetséges, hogy:

  • a bűnözők valamilyen üzenetet szeretnének átadni. Megbénítják például egy nagyvállalat rendszerét, ha gyanús, hogy a cég diszkriminációt folytat. Vagy saját propagandájukat hirdetik egy feltört weboldalon, esetleg üzeneteket küldenek a cég nevében;

  • máskor anyagi haszonszerzés a cél, bankkártya- vagy előfizetési adatokat lopnak, netán a feketepiacon kívánatos címlistákat gyűjtenek;

  • megzavarhatják egy állam vagy cég működését, hogy kiüssék a konkurenciát, vagy ezzel a fenyegetéssel demonstrálják az erejüket.

A nagyvállalatok termékei mindig ideális célpontjai lesznek egy-egy támadásnak. Az Exchange feltörése is mutatja: egyetlen biztonsági rés kihasználásával több százezer cég adatai válnak nyitott könyvvé. Még egy egyszerű húzással is valódinak tűnő, de átverős e-mailek százezreit lehet továbbítani, milliónyi adatot szerezni, és több száz nagyvállalat, kulcsfontosságú intézmény vezetőit nyomás alá helyezni.

A szoftveróriások megtehetik, hogy hatalmas erőforrásokkal dolgozzanak egy probléma megoldásán. Csakhogy a gépezet lassú és az erőforrásaik (szakembereik száma) véges. A cégek ráadásul sokszor politikai és üzleti nyomás alatt is állnak. Mit jelent ez?

A Microsoft - mint minden óriásvállalat - csak késéssel tudott reagálni

A zárt forráskódú megoldás azt jelenti, hogy még a biztonsági cégek is csak jelezni tudják a problémát, de semmit sem tehetnek annak kijavítására. Ha azt feltételezzük, hogy a nagyvállalat már a jelzés pillanatában azonnal javítani kezdi a problémát, még akkor is rengeteg csúszással kell számolni, hiszen meg kell győződni a bejelentés valódiságáról, tesztelni a rendszert, és csak ezután lehet kezdeni a patchelést. A nyílt forráskód esetében azonban sok csapat gyakorlatilag rögtön megoldást kereshet a sérülékenység kijavítására.

A zárt rendszerben a felhasználók nem tudhatják, konkrétan mi okozta a problémát és mit tett a vállalat annak kiküszöbölésére. Sokszor az egyetlen lehetőség megbízni a vállalat ígéretében, hogy a patch működik. De mi van, ha - a Microsoft példájánál maradva - a biztonsági javítás kiszűr néhány támadót, de nem tud mit kezdeni a kínai csoport után behatoló többi hackerrel?

A Microsoftot támadók ráadásul az unified communication gyengeségének kihasználásakor egy olyan megoldást támadtak meg, amely egy azonos cég különböző platformjai között biztosított átjárást, jelesül a hang alapú csevegés és az e-mail rendszer között. Egyetlen résen át sikerült szinte a teljes rendszerbe belépni. Egy kevésbé központosított infrastruktúra esetében ez nem okozna akkora kárt, mint egy olyan felállásban, ahol a munkához szükséges minden megoldást ugyanaz a gyártó készített.

Miért éri meg a kisebbet választani?

Kár vitatni: a Microsoft megoldásai kényelmesek és praktikusak a legtöbb cég számára. Mára azonban a nyílt forráskódú alternatívák is sokat fejlődtek. A segítségükkel ugyanolyan ergonomikus technikai környezetet lehet kialakítani, mint az óriások termékeivel - bár tény, hogy ezek használata igényel egy kis gyakorlatot.

Ám a kisebb gyártók termékei egyszerűen kisebb céltáblát jelentenek, így jóval kevesebb és egyszerűbb támadással kell számolni. Ha ráadásul sikerül egy diverzebb, kevésbé központosított, és könnyebben ellenőrzés alatt tartható rendszert kiépíteni, kisebb az esélye annak is, hogy egy kibertámadás valóban komoly következményekkel járjon.

A szabad szoftveres megoldások ráadásul nagyobb figyelmet követelnek a felhasználótól is. A nagy cégek termékei sokszor elkényelmesítik a usereket, így azok kevesebb figyelmet fordítanak a védekezésre - különösen vállalati környezetben, ahol nem feltétlenül érzi mindenki magáénak a biztonsági kockázatokat.

Kiberbiztonsági cégként felkészültünk a kihívásra, hogy alternatív eszközökkel is kényelmes munkakörnyezet hozzunk létre ügyfeleink számára. Szívesen vállaljuk teljes infrastruktúrák kialakítását is, különösen akkor, ha ezzel növelni tudjuk a cégek függetlenségét a szoftveróriásoktól, hogy ezáltal támogassuk a még biztonságosabb IT környezeteket. Fordulj hozzánk bizalommal, ha kérdésed van!