A szlovák ESET kutatói több mint tíz különféle Advanced Persistent Threat (APT), vagyis fejlett és tartós fenyegetést jelentő csoportról számolt be, akik a legújabb Microsoft Exchange biztonsági réseit használják ki a levelezőszerverek támadásához. Az ESET több mint ötezer olyan levelezőszervert azonosított, melyek érintettek ebben a kártékony tevékenységben. A támadások vállalkozások és kormányzatok szervereit érintik világszerte. Ebből következik, hogy a fenyegetés nem korlátozódik a Microsoft által korábban jelentett Hafnium csoportra. Március elején a Microsoft biztonsági javításokat tett közzé az Exchange Server 2013, 2016 és 2019 programokhoz, hogy kiküszöböljenek egy sor, az előzetes hitelesítésre és távoli kódfuttatásra vonatkozó biztonsági rést. Ezek a biztonsági rések lehetővé teszik a támadók számára, hogy átvegyék az elérhető Exchange-szerverek feletti hatalmat, érvényes fiók-hitelesítő adatok nélkül – ami különösen sebezhetővé teszi az internethez kapcsolódó Exchange-szervereket.
„A biztonsági javítások közzététele utáni napon a korábbinál sokkal több fenyegetésre figyeltünk fel, amelyek tömeges mértékben támadták az Exchange szervereket. Érdekes módon mindegyikük kémkedésre szakosodott APT-csoport, kivéve egyet, ami a jelek szerint egy ismert kriptobányászati tevékenységgel áll összefüggésben. Elkerülhetetlen, hogy előbb-utóbb még több fenyegetés, köztük zsarolóvírussal támadó csoportok is hozzáférjenek ezekhez a sebezhetőséget kihasználó exploitokhoz” – magyarázta Matthieu Faou, az Exchange sebezhetőségi láncát vizsgáló ESET-kutatás vezetője. Az ESET kutatói megfigyelték, hogy néhány APT-csoport még a javítások kiadása előtt elkezdte kihasználni a sebezhetőségeket. „Ez alapján elvethetjük annak lehetőségét, hogy ezek a csoportok a Microsoft frissítések kódjainak visszafejtésével hoztak létre egy exploitot” – tette hozzá Faou.