Неверные действия Microsoft привели к недавнему громкому взлому избирательной комиссии Великобритании

Все больше данных указывает на то, что причиной одного из крупнейших взломов в истории Великобритании — взлома Избирательной комиссии страны, который мы освещали несколько дней назад, стала пара критических уязвимостей в Microsoft Exchange. В результате атаки были скомпрометированы данные, по предварительным оценкам, до 40 миллионов жителей.

Представители Избирательной комиссии впервые публично сообщили о взломе в минувший вторник. Они заявили, что обнаружили вторжение в свои сети ещё в октябре прошлого года, когда и заметили подозрительную активность.

Оказалось, что злоумышленники получили доступ к системам ещё в августе 2021 года. То есть хакеры находились в сети комиссии целых 14 месяцев, прежде чем их заметили и прогнали оттуда. При этом комиссия по какой-то причине ждала ещё девять месяцев после инцидента, чтобы уведомить общественность об утечке.

В результате взлома хакеры получили доступ к множеству персональных данных, включая имена и адреса людей, зарегистрированных для голосования на различного рода выборах с 2014 по 2022 год. Представители комиссии заявили, что число затронутых избирателей может достигать 40 миллионов человек. При этом комиссия пока официально не назвала ни причину взлома, ни способ первоначального проникновения в свои системы.

Тем не менее, некоторые недавние расследования, проведённые внешними экспертами, указывают на то, что входным каналом стала пара критических уязвимостей в Microsoft Exchange Server, которым пользуются крупные организации для управления почтовыми ящиками.

Уязвимости, отслеживаемые как CVE-2022-41080 и CVE-2022-41082 , но также известные под общим названием ProxyNotShell, представляют собой цепочку удалённого выполнения кода. Они оставались неисправленными более месяца после обнаружения, в течение которого активно использовались в атаках для установки вредоносных веб-оболочек на уязвимых серверах.

Компания Microsoft в то время выпустила руководство по смягчению угрозы, однако не посчитала нужным сразу же исправлять эти уязвимости. Компания устранила выявленные недостатки безопасности лишь 8 ноября, через шесть недель после подтверждения существования активно эксплуатируемой цепочки уязвимостей нулевого дня.

Через несколько недель после обнаружения нулевых дней исследователь Кевин Бомонт сообщил , что рекомендованные Microsoft меры смягчения можно легко обойти. Вчера исследователь снова прошёлся с критикой по Microsoft: во-первых, за предоставление неверных рекомендаций по безопасности, а во-вторых, за то, что на выпуск исправлений ушло аж три месяца.

Ссылаясь на результаты поиска устройств Shodan, эксперты пришли к выводу, что вплоть до конца сентября 2020 года избирательная комиссия Великобритании использовала доступный из интернета локальный сервер Exchange с веб-приложением Outlook. Поиск также показывает, что сотрудники комиссии в последний раз обновляли ПО сервера в августе — в тот же месяц, когда начали активно использоваться эксплойты.

Данный киберинцидент является напоминанием о том ущербе, который может быть нанесён при злоупотреблении совершенно обычным ПО в государственных учреждениях. Также это подчёркивает потенциальные риски, когда поставщики не предоставляют своевременные обновления для своих продуктов или же выпускают неверные рекомендации по безопасности.