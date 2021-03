لم يردع تصحيح الأمان الطارئ الذي طرحته شركة مايكروسوفت قبل بضعة أيام لإصلاح ثغرات خادم البريد الإلكتروني Microsoft Exchange Server مجموعة القرصنة التي كانت تستغلها.

وتم العثور على أربع ثغرات في برنامج Microsoft Exchange Server، مما أدى إلى اختراق البريد الإلكتروني لأكثر من 30000 مؤسسة حكومية وتجارية أمريكية.

وقامت المجموعة التي ترعاها الدولة الصينية، والتي يطلق عليها اسم Hafnium، بتكثيف حملتها وأتمتة حملتها بعد إصدار التصحيح.

وفي الولايات المتحدة، تسللت المجموعة إلى ما لا يقل عن 30000 مؤسسة تستخدم خادم البريد الإلكتروني Microsoft Exchange Server، بما في ذلك أقسام الشرطة والمستشفيات والحكومات المحلية والبنوك والمؤسسات غير الربحية ومقدمي خدمات الاتصالات.

بينما ورد أن عدد الضحايا في جميع أنحاء العالم يصل إلى مئات الآلاف، حيث تعرض كل من يقوم بتشغيل Outlook Web Access المستضاف محليًا ولم يتم تصحيحه منذ بضعة أيام للهجوم.

وقال مسؤول سابق في الأمن القومي: يتم اختراق آلاف الخوادم كل ساعة حول العالم.

وعندما أعلنت مايكروسوفت عن التصحيح، نسبت الفضل إلى شركة الأمن Volexity لتنبيهها بأنشطة Hafnium.

وقال (ستيفن أدير) Steven Adair، رئيس Volexity: حتى المؤسسات التي صححت خوادمها في اليوم الذي تم فيه إصدار التحديث الأمني ​​ربما لا تزال تتعرض للاختراق.

وعلاوة على ذلك، يعمل التصحيح على إصلاح نقاط الضعف في Exchange Server فقط، ويظل على أولئك الذين تم اختراقهم إزالة الباب الخلفي الذي زرعته المجموعة في أنظمتهم.

وتستغل Hafnium العيوب لزرع واجهة خبيثة تشبه واجهة الويب في خوادم ضحاياها، مما يمنحها وصولاً إداريًا يمكنها استخدامه لسرقة المعلومات.

ويشعر رئيس Volexity وخبراء أمنيون آخرون بالقلق من احتمال قيام المتسللين بتثبيت أبواب خلفية إضافية حيث يعمل الضحايا على إزالة تلك الموجودة.

وأوضحت مايكروسوفت منذ البداية أن هذه الثغرات لا علاقة لها بشركة SolarWinds، ومع ذلك، فإن أنشطة Hafnium قد تقزم هجمات SolarWinds عندما يتعلق الأمر بعدد الضحايا.

وتعتقد السلطات أن نحو 18000 كيان قد تأثر بخرق SolarWinds، حيث كان هذا هو عدد العملاء الذين قاموا بتنزيل التحديث الضار للبرنامج.

وتركز أنشطة Hafnium على المؤسسات الصغيرة والمتوسطة، حيث تسلل قراصنة SolarWinds إلى عمالقة التكنولوجيا والوكالات الحكومية الأمريكية الكبيرة.

وقالت مايكروسوفت: إنها تعمل عن كثب مع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية، جنبًا إلى جنب مع الوكالات الحكومية الأخرى وشركات الأمن، لتزويد العملاء بإرشادات تحقيق وتخفيف إضافية.

So what do you do now? (1) patch (if you haven't already), (2) assume you're owned, look for activity, (3) if you aren't capable of hunting or can't find a team to help, disconnect & rebuild, (4) move to the cloud, (5) pour one out for IR teams, they've had a rough year(s?).

— Chris Krebs (@C_C_Krebs) March 6, 2021