Zalecenia dotyczące poważnych luk bezpieczeństwa w Microsoft Exchange

9 marca, 2021

Możliwe, że aż 30000 firm i agencji rządowych ze Stanów Zjednoczonych jest celem kampanii hackerskiej wymierzonej w exploitowanie luk w produkcie Microsoft Exchange Server. Niektóry eksperci twierdzą, że poza Stanami skala problemu jest jeszcze większa. Ataki przypisuje się grupie hakerów HAFNIUM – według Microsoftu prawdopodobnie pochodzą oni z Chin.

Początkiem marca firma Microsoft opublikowała kilka aktualizacji bezpieczeństwa dla MS Exchange Server 2013, MS Exchange Server 2016 i MS Exchange Server 2019. Jest to bardzo ważne, ponieważ poprawki są odpowiedzią na kilka aktywnie wykrywanych exploitów, wymierzonych w luki CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065. Jedna z podatności pozwala przeprowadzić atak typu Remote Code Execution (RCE), który umożliwia hakerom łatwe zainstalowanie backdoorów do późniejszego ich wykorzystania.

Uwaga! Firmy, które korzystają z serwera Microsoft Exchange w chmurze nie muszą nic robić. Ich synchronizacja kontaktów, kalendarzy, notatek firmowych jest bezpieczna.

Aktualizacje wydają także producenci rozwiązań do zabezpieczeń sieci i stacji roboczych. Zrobił to Fortinet, aby chronić klientów przed explitami, jak równeż Palo Alto, Microsoft i wielu innych. Należy odnotować, że skuteczna ochrona sieci firmowej nie jest uwarunkowana tylko i wyłącznie aktualizacjami bezpieczeństwa Microsoft Exchange. Niewątpliwie załatanie produktu jest bardzo ważne i to w trybie pilnym, jednakże nowoczesne rozwiązania monitorujące stacje robocze przed zagrożeniami i atakami nie powinny mieć problemu z zaobserwowaniem anomalii występujących w sieci.

Lokalne serwery Microsoft Exchange są celem hakerów

Według Microsoftu grupa hakerów HAFNIUM jest sponsorowana przez jedno z konkurencyjnych państw, którym zależy, aby dywersyfikować liczne sektory przemysłu i gospodarki w Stanach. Raporty wskazują na coś innego – kampania początkowo wymierzona w USA, rozprzestrzenia się na cały świat. W operacji cyberprzestępczej cztery luki w zabezpieczeniach Exchange i połączone razem, umożliwiają hakerom aktywne wykorzystanie tych serwerów do dalszej eskalacji incydentu ataku.

Firma ESET, dzięki licznym informacjom zwrotnym z produktów biznesowych zainstalowanych na serwerach i komputerach firmowych, opracowała statystyki rozprzestrzeniania się exploitów.

Podobnie firma Kaspersky, wykorzystując sieć Kaspersky Security Network, przetwarza w czasie rzeczywistym żądania napływające od produktów tej firmy zainstalowanych na komputerach użytkowników korporacyjnych i indywidualnych. Sieć KSN jest oparta na chmurze i od dawna stanowi skuteczne narzędzie do walki z najnowszymi zagrożeniami.

Skala rozprzestrzeniania się exploitów wymierzonych w serwery Microsoft Exchange.
Skala rozprzestrzeniania się exploitów wymierzonych w serwery Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065).

Firma Microsoft dokładnie opisała w jaki sposób może dojść do zainfekowania systemów, i które wersje Microsoft Exchange są zagrożone atakiem. Dostępne są także sygnatury Yara oraz liczne wskaźniki zagrożeń (IoC, z jęz. ang. Indicators of Compromise), które są publikowane przez firmy zajmujące się cyberbezpieczeństwem. To wszystko może być pomocne przy budowaniu wewnętrznych reguł bezpieczeństwa oraz zintegrowanie ich z rozwiązaniem ochronnym używanym w organizacji.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

[ninja_tables id=”27481″]