Microsoft Exchange’i serveritarkvara versioonides 2013, 2016 ja 2019 avastati 3. märtsil turvaviga, mis lubas võõrastel meiliserveri üle kontrolli võtta ja sealt andmeid kätte saada. Praeguseks on parandus väljas ning uuendatud tarkvaraga serverid kaitstud. Samas on endiselt veel palju neid, kelle Exchange on uuendamata ja need ettevõtted võivad sattuda sihtimata rünnakute ohvriks. Mitmed häkkerite rühmitused skännivad Internetis kaitsmata servereid ja nende leidmisel tegutsevad kiiresti.

Solarwindsi IT turvaintsidendi puhul, mil rünnati suuri ja tuntud ettevõtteid tarkvara Solarwind turvaaugu kaudu, puhul polnud pihta saanuid väga palju. Exchange´i turvaauk tabas aga ligi 15 korda rohkem ettevõtteid. Kõik, kellel oli Exchange´i server oma majas paigaldatud ja see oli nii-öelda näoga Internetti suunatud, võisid pihta saada.

Vaata Exchange´i turvaintsidendi kokkuvõtvat ajajoont siit.

Tegemist oli nullpäeva rünnakuga (vt ka uudist Postimehest). Vaadates viimast Exchange´i nullpäeva raportit, oli tegu väga kõrge riskiga, sest niipea, kui Exchange server kompromiteeriti, oli võimalik saada ligi sadadele gigabaitidele sensitiivse sisuga meilidele ja need alla laadida. Paljud ei teagi, kui palju olulist infot seal on, mis võiks ettevõtet kahjustada, lisaks võib tabada trahvinõue GDPR-i reeglite rikkumises kliendiandmete lekitamisega. Exchange´i puhul pole tegemist suvalise serveriga, selle kaudu saab ligi väga olulistele andmetele.

Nullpäevad on alati ohtlikud. Kui tootja tuleb uuendustega välja ning kui ise kiiresti ei uuenda, saad kohe pihta. Paljud ettevõtted ei teagi, et nende e-posti teenus on kompromiteeritud. Exchange on aga praegu Eestis üks põhilisi e-posti teenuseid ja on väga laialt levinud. CERT Eesti hinnangul sai seekord haavata ligi 80 ettevõtet.

Ohvreid otsitakse robotitega

Kuigi turvauuendus on väljas, pole paljud Exchange´i serverid veel siiamaani uuendatud. Eestiski on selliseid ettevõtteid. Netis on eraldi teenused, millega otsitakse võrgust uuendamata Exchange´i servereid ja seda on praeguseks tehtud juba rohkem kui nädal. Kui turvaauguga Exchange leitakse, siis saab sellesse autentimata sisse ning on võimalik alla laadida kogu meilivahetus, mida teenuses hoitakse. Hiljem võib tekkida komm või pomm olukord, nagu Halloweeni ajal: kas maksad lunaraha ja uuendad või pannakse privaatsed e-kirjad kuhugi avalikult üles.

Parem karta, aga mitte liiga palju

Kui turvaintsident on juba juhtunud, siis pole enam põhjust varjata ja karta, et äkki keegi laseb mu lahti selle pärast. Kuidas saab ise süüdi olla, kui Exchange´il oli nullpäev? Microsoft tuli välja nullpäeva rünnaku uudisega 2. märtsil, Eesti jaoks oli siis kolmapäeva hommik, kui uudis laiemalt levima hakkas. Turvaaugu kaudu sai ilma autentimata siseneda ettevõtte e-posti serverisse. See muutiski asja ülikriitiliseks. See oli olukord, nagu sul oleks kodus igati tugev turvauks, aga sisse saab ilma võtmeta, lihtsalt uksest sisse astudes.

Exchange´is on ettevõtte jaoks väga oluline info, kogu ettevõtte kasutajate e-kirjad. Lisaks on Exchange kriitiline teenus ka sellepärast, et tegemist on nulltaseme teenusega. Tsonaalsete administreerimismudelite artiklis oli sellest juttu, et tasemel null on samas masinas ka domeeniadministraatori õigused. Ründajatel oligi tihti eesmärgiks võtta kaasa kõigi kasutajate võtmed, sealhulgas domeeniadministraatori omad ning sealt edasi on vaid üks samm kogu ettevõtte Active Directory diskrediteerimiseks ehk piltlikult kogu kuningriigi võtmed oleks siis ründaja käes.

Just sellepärast ongi see turvajuhtum ülihalb. Paljud ei saanud aru, kui kriitiline see tegelikult oli. Mitmetes Eesti firmades on e-posti teenused endiselt uuendamata, e-posti halduse eest vastutavad isikud ei tea, mida see võib endaga kaasa tuua.

Nullpäeval pole õhtuni aega

Eestis nägime sedagi, et isegi kui ettevõtted hakkasid oma e-posti teenust uuendama kohe kolmapäeval, said mõned juba enne uuendamist tagaukse ehk backdoor´i pahavara endale sisse.

Microsoft küll alguses mainis, et turvaaugu ära kasutajate puhul on tegemist suunatud rünnakutega, aga kolmapäeval sai kiiresti selgeks seegi, et enam ei olnud see nii, kuna juba oli rünnatud ka suvalisi n-ö meepotte, mis olid netti pandud uuendamata Exchange´i serveritarkvaraga pahalaste ligimeelitamiseks. Kohe olid viis erinevat häkkerigrupeeringut meepoti Exchange serveri üle võtnud ja järgmistel päevadel toimus samuti nende massiivne päringutega pommitamine. Seega polnud rünnakud enam väga suunatud, vaid prooviti leida võimalikult palju ohvreid.

Palju õpetlikke juhtumeid

Exchange´i intsidendiga saime me palju õpetlikke juhtumeid turvaintsidentide käsitlemisest.

Esiteks, juba kompromiteeritud süsteemides istuti paar päeva sees ja hakati tegutsema alles hiljem, mis uinutas ettevõtteid.

Teiseks levis muidugi jälle võltshäbi, mis sellega kaasas käib ja tekitas küsimusi, et kuidas ma ikkagi sisemiselt kommunikeerin, et meid rünnati, see tekitab paanikat.

Keegi pole kaitstud nullpäeva rünnakute vastu. Isegi kui oma serveri ära uuendad ja midagi kahtlast ei näinud, peaks võtma Microsofti vastavad skriptid ja käima kõik logid üle, et veenduda, et keegi ei ole vahepeal turvaauku ära kasutades sees käinud.

Kui järgmine kord taoline turvarünnak toimub, siis võiks kindlasti olla enne juhtkonnalt olemas eel-autoriseeritud kinnitused, et teenuse võib ohu korral ajutiselt maha võtta. Pihta saanud meiliteenuse võiks internetist kiiresti isoleerida ja turvauuenduse kohe ära teha, sest õhtuni oodates võib olla juba liiga hilja.

Ohuanalüüsid peavad olema varem tehtud, sest kriisis olles aega pole. Isegi õhtuni pole aega, et reageerida. Tegutseda tuleb kohe. Seda see Exchange´i intsident näitaski.

Kui sul on Exchange´i turvaintsidendi ja turvauuenduste kohta küsimusi, võta Lakeforest Consult`iga julgesti ühendust.