H Microsoft κρούει τον κώδωνα του κινδύνου στους πελάτες του Azure για το Exim worm, το οποίο εξαπλώνεται μέσω του ομώνυμου mail server, έχοντας μολύνει, ήδη, αρκετές εγκαταστάσεις του Azure.

Το πρόβλημα ήρθε στην επιφάνεια όταν την περασμένη εβδομάδα ερευνητές ασφάλειας εντόπισαν τουλάχιστον δύο ομάδες hackers, οι οποίες από τις αρχές Ιουνίου αξιοποιούν ήδη γνωστά κενά ασφαλείας στο mailserver Exim, ώστε να εμφυτεύουν εξ αποστάσεως επιζήμιο κώδικα σε ευάλωτους servers. Ακολούθως, το malware εκτελείται με δικαιώματα του Exim – στην πλειοψηφία των περιπτώσεων με δικαιώματα root.

Tο επιζήμιο λογισμικό διαθέτει, σύμφωνα με την ανάλυση της ομάδας Cybereason, worm λειτουργικότητα, που επιτρέπει σε ένα μολυσμένο Exim server να το μεταφέρει σε άλλους servers που δεν έχουν γίνει patch, εμφυτεύοντας σε αυτούς έναν cryptocurrency miner. Το Azure εμποδίζει, μεν, την εξάπλωση του worm, όχι ωστόσο και την εγκατάσταση των cryptocurrency miners.

H Microsoft ανησυχεί, ως εκ τούτου, ότι οι επιτιθέμενοι θα μπορούσαν να αξιοποιήσουν το ίδιο κενό ασφαλείας του Exim, ώστε να εγκαταστήσουν στις εγκαταστάσεις Azure και άλλου είδους επιζήμιο λογισμικό (εκτός από το cryptocurrency miner). «Καθώς αυτή η ευπάθεια μπορεί να αξιοποιηθεί και από άλλα worms, το Microsoft Security Response Center καλεί τους πελάτες να λάβουν υπόψη τους τις βέλτιστες πρακτικές και πρότυπα ασφάλειας του Azure, περιορίζοντας ή κάνοντας patch στις δικτυακές προσβάσεις στα VMs, στα οποία τρέχουν οι εκδόσεις του Exim που επηρεάζονται» δήλωσε ο JR Aquino, Manager of Azure Incident Response στην Microsoft.

Παράλληλα,  η Microsoft πιέζει τους πελάτες της, να εγκαταστήσουν την έκδοση 4.92 του Exim που δεν έχει πρόβλημα (ευάλωτες σε επιθέσεις είναι οι εκδόσεις 4.87 έως 4.91). Tα μολυσμένα συστήματα Azure πρέπει, σύμφωνα με την εταιρεία, να σβηστούν και να εγκατασταθούν εκ νέου ή να ανακτηθούν από ένα backup.