Měli bychom (pravděpodobně) mnohem klidnější začátek března. Přesně to by bylo. Všichni bychom měli klidnější březen, více spánku, více času na rodinu, NÚKIB by nemusel vydávat reaktivní opatření … a také by si všechny naše e-maily nečetly různé hackerské skupiny, plnou kontrolu nad našimi Exchange servery by nemohl získat kdokoliv, nevznikl by ransomware DearCry, bylo by o tisíce hacknutých Exchange serverů méně, další výčet je ponechán laskavému čtenáři.

Z tohoto pohledu zamrzí, že on-prem Exchange existuje. A také zamrzí, že v něm byly nalezeny zranitelnosti, které umožňovaly přebrat nad daným Exchange serverem plnou kontrolu. Ještě více zamrzí, že v době zveřejnění informací o zranitelnostech (a opravné aktualizaci, ať jsme féroví k Microsoftu), tyto již byly téměř 2 měsíce (!) zneužívané různými skupinami útočníků. Jednoduše se k nim ti „zlí hoši“ dostali dříve.

Nemluvě o tom, že pár hodin po zveřejnění se přidali další útočníci, kteří dokázali přijít na způsob, jak dané zranitelnosti zneužít a rozpoutalo se hotové peklo. Téměř každý Exchange server vystavený do internetu byl zranitelný a velmi pravděpodobně během několika desítek hodin po zveřejnění zranitelností i úspěšně hacknutý.

Dalo se předejít zranitelnostem? Prakticky ne, ty budou v libovolném softwaru vždy. Avšak dala se provést preventivní opatření, např. omezit přístup k webovému rozhraní Exchange, nebo … zahodit on-prem Exchange a používat cloudový O365. I bez těchto opatření jste na tom nemuseli být úplně špatně, pokud byste měli dobrého partnera, který by vám pomohl v kyberbezpečnosti.

Mezi služby AXENTA CyberSOC patří i upozorňování na závažné zranitelnosti v infrastruktuře zákazníka. Tato služba umožnila našim zákazníkům zabránit dalšímu zneužití jejich zranitelných Exchange serverů již do několika minut po oficiálním zveřejnění zranitelností. Díky službě bezpečnostního monitoringu také hned věděli, zda jejich servery byly v minulosti napadeny zneužitím těchto zranitelností nebo ne.

Naši zákazníci, kteří byli napadeni, však věděli, že nemusí věšet hlavu, protože měli k dispozici náš AXENTA CSIRT tým, který jim okamžitě pomohl při reakci na tento kybernetický incident (více viz https://www.itsec-nn.com/blizsi-pohled-na-ukoly-csirt-tymu-v-organizaci/ a https://www.itsec-nn.com/hackli-nas-co-ted/), aby mohli co nejdříve obnovit svou běžnou činnost v plném rozsahu.

Většina společností však takové štěstí neměla a vypořádat se s tímto problémem jim trvalo mnohem déle. Některé ještě možná ani nevědí, že jejich e-maily již několik týdnů nečtou jen oni. Říká se, že štěstí přeje připraveným. Naši zákazníci, i díky nám, připraveni byli. Buďte připraveni i vy!

Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.