Microsoft предупреждает клиентов о том, что новый злоумышленник, спонсируемый государством Китая, использует четыре ранее нераскрытых уязвимости безопасности в Exchange Server, продукте корпоративной электронной почты, созданном софтверным гигантом.
Технологическая компания заявила во вторник, что считает, что хакерская группа, которую она называет Hafnium, пытается украсть информацию у широкого круга организаций в США, включая юридические фирмы и оборонных подрядчиков, а также исследователей инфекционных заболеваний и аналитических центров.
Microsoft сказал, что Hafnium использовал четыре недавно обнаруженных уязвимости безопасности, чтобы взломать почтовые серверы Exchange, работающие в сетях компании, давая злоумышленникам возможность украсть данные из организации жертвы, такие как учетные записи электронной почты и адресные книги, а также возможность внедрять вредоносное ПО. При совместном использовании четыре уязвимости создают цепочку атак, которая может поставить под угрозу уязвимые серверы под управлением Exchange 2013 и более поздних версий.
Компания сообщила, что Hafnium работает за пределами Китая, но использует серверы, расположенные в США, для проведения своих атак. Microsoft сказал, что Hafnium была единственной обнаруженной группой угроз с использованием этих четырех новых уязвимостей.
Microsoft отказался назвать количество успешных атак, но назвал их «ограниченными».
Патчи для исправления этих четырех уязвимостей в настоящее время выпущены, на неделю раньше, чем стандартный график исправлений компании, обычно зарезервированный на второй вторник каждого месяца.
«Несмотря на то, что мы быстро поработали над развертыванием обновления для эксплойтов Hafnium, мы знаем, что многие субъекты национального государства и преступные группы быстро перейдут к использованию любых незащищенных систем», – сказал Том Берт. Microsoftвице-президент по безопасности клиентов.
Компания заявила, что она также проинформировала правительственные учреждения США о своих выводах, но что атаки Hafnium не связаны со шпионской кампанией, связанной с SolarWinds, против федеральных агентств США. В последние дни администрации Трампа Агентство национальной безопасности и ФБР заявили, что кампания SolarWinds «вероятно, имела российское происхождение».