1

Атака Microsoft Exchange: кого касается и что делать дальше?

На прошлой неделе компания Microsoft выпустила экстренные обновления безопасности для своего почтового сервера Exchange, исправляющие четыре уязвимости нулевого дня, которые активно используют хакеры. Предполагается, что за атакой стоит поддерживаемая китайским правительством хакерская группировка, известная как Hafnium.

 

По оценкам специалистов, минимум 30 000 организаций уже подверглись атакам в США. Более того, на протяжении выходных количество пострадавших организаций по всему миру увеличилось уже до 60 тыс.

 

В число жертв даже вошла Европейская банковская организация (EBA). Все пострадавшие компании и организации были клиентами Microsoft Exchange Server. Большинство из них – владельцы малого и среднего бизнеса.

 

Что касается Украины, по данным нашей последней проверки при помощи сервиса Shodan, 49% серверов Microsoft Exchange, расположенных в Украине, все еще не пропатчены и уязвимы

 

Применение доступных исправлений является главным приоритетом, но если нет возможности установить обновления в срочном порядке, необходимо отключить все уязвимые серверы. В настоящее время все, у кого есть серверы Exchange, должны провести их проверку на наличие признаков взлома.

 

ХРОНОЛОГИЯ СОБЫТИЙ

 

Атака началась в конце 2020 года и в конце февраля 2021 года переросла в широкомасштабную кампанию взлома. Злоумышленники используют четыре уязвимости нулевого дня в Microsoft Exchange Server.

 

2 марта Microsoft выпустила экстренное обновление, но к 5 марта его установили лишь на 10% устройств, подвергшихся атаке.

 

Сначала хакеры атаковали более значимые цели, в частности правительственные сети. Уже после того, как уязвимость обнаружили, они автоматизировали атаки и расширили масштабы.

 

Несмотря на то, что Hafnium находится в Китае, он осуществляет свою деятельность в основном из арендованных виртуальных частных серверов (VPS) в Соединенных Штатах.

 

Атаки состояли из трех этапов: сначала злоумышленники получили доступ к серверу Exchange с помощью украденных паролей или с помощью уязвимостей, которые не были обнаружены. Далее создали так называемую вебоболочку для удаленного управления сломанным сервером. И затем  использовали удаленный доступ для кражи данных.

 

КОГО ЭТО КАСАЕТСЯ

 

На текущий момент особое внимание нужно проявить тем организациям, которые установили локальную версию Microsoft Exchange Server 2010, 2013, 2016 или 2019. Им нужно установить обновление от Microsoft и проверить систему на наличие 8-символьных файлов aspx в каталоге C:\inetpub\wwwroot\aspnet_client\system_web. Однако масштаб ущерба всё ещё предстоит оценить, так как хакеры установили вредоносное ПО, которое может позволить им снова вернуться на эти серверы. Microsoft сотрудничает с правительственными агентствами, но пока не называет сроки выхода полных исправлений.

 

Скорее всего, непропатченные серверы будут атаковаться всеми желающими еще долгое время. Отдельную проблему представляет установка бэкдора после взлома серверов: патчи способны закрыть изначальную точку входа, но уже атакованным организациям они не помогут. Все настолько плохо, что операторам серверов Microsoft Exchange рекомендуют исходить из того, что они уже взломаны.

 

КАК ЗАЩИТИТЬСЯ ОТ АТАК НА MS EXCHANGE

 

В данном случае ваш подход может зависеть от ваших внутренних ресурсов. Если у вас нет собственной команды безопасности, обратитесь за поддержкой к поставщику услуг безопасности или MSP.

 

Если же у вас есть специалисты по безопасности, рекомендации ниже могут им пригодиться.

 

Microsoft уже выпустила обновления безопасности, закрывающие указанные уязвимости. Мы настоятельно рекомендуем организациям как можно скорее обновить Exchange.

 

Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.

 

Если в вашей компании по каким-то причинам невозможно обновиться срочно, то Microsoft предлагает несколько альтернативных решений.

 

Эксперты Microsoft говорят, что начальную фазу атаки можно остановить, запретив недоверенный доступ к серверу Exchange через порт 443 или в целом ограничив подключения извне корпоративной сети. Однако это не поможет, если злоумышленники уже находятся внутри вашего периметра или если им удастся убедить пользователя с правами администратора запустить вредоносный файл.

 

Решение класса Endpoint Detection and Response (если у вас есть внутренние эксперты) или внешние специалисты сервисов типа Managed Detection and Response могут обнаружить подобное вредоносное поведение в сети.

 

Всегда помните, что каждый компьютер, подключенный к Интернету, будь то сервер или рабочая станция, нуждается в надежном решении, способном предотвращать эксплуатацию уязвимостей и имеющем систему проактивного обнаружения вредоносного поведения.

 

В заключение приводим ссылки на дoполнительные источники информации, которые помогут обнаружить проблему или уже взлом

скрипт для утилиты nmap для проверки наличия уязвимой версии Exchange:  http://bit.ly/3t4R7XR

 

скрипт, проверяющий есть ли в вашем Exchange уязвимости из этого набора ProxyLogon:  http://bit.ly/3bxxj9L

 

скрипт, проверяющий наличие уже произошедшего взлома и оставленного после себя киберзлоумышленниками закладку (shell) на будущее: http://bit.ly/3vcUTjK

Related Posts

card__image

Cyberattacks on Critical Infrastructure: The Digital Battlefield

Извините, этот текст доступен только на “en” и “ua”. Cyber threats are escalating in critical sectors like energy and healthcare. Recent warnings from CISA, NSA, and FBI highlight vulnerabilities exploited by Chinese-linked operations.   In today’s world, it’s hard to miss the constant buzz about cyber threats, especially when they hit critical infrastructure and sectors […]

card__image

Киберугрозы растут, а специалистов становится все меньше

Ключевым вопросом исследования рынка труда в сфере кибербезопасности ISC2 2024, является необходимость для организаций расширить возможности для развития кадрового потенциала в этой сфере, а также предоставить больше возможностей для новичков войти в профессию и развивать необходимые навыки при поддержке опытных коллег.   Согласно новым данным, глобальный рост числа специалистов по кибербезопасности впервые за шесть лет […]

card__image

Количество DDoS-атак увеличивается

Мониторинг развивающихся тенденций DDoS важен для предвидения угроз и адаптации стратегий защиты. Комплексный отчет Gcore Radar за первое полугодие 2024 года предоставляет подробную информацию по DDoS-атакам, демонстрируя изменения в моделях атак и более широком ландшафте киберугроз. Ниже мы делимся основнвыми инсайтами.   Ключевые выводы   Количество DDoS-атак в первом полугодии 2024 года выросло на 46% […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *