Zalecenia dotyczące poważnych luk bezpieczeństwa w Microsoft Exchange

09 03 2021

Możliwe, że aż 30000 firm i agencji rządowych ze Stanów Zjednoczonych jest celem kampanii hackerskiej wymierzonej w exploitowanie luk w produkcie Microsoft Exchange Server. Niektóry eksperci twierdzą, że poza Stanami skala problemu jest jeszcze większa. Ataki przypisuje się grupie hakerów HAFNIUM – według Microsoftu prawdopodobnie pochodzą oni z Chin.

Początkiem marca firma Microsoft opublikowała kilka aktualizacji bezpieczeństwa dla MS Exchange Server 2013, MS Exchange Server 2016 i MS Exchange Server 2019. Jest to bardzo ważne, ponieważ poprawki są odpowiedzią na kilka aktywnie wykrywanych exploitów, wymierzonych w luki CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065. Jedna z podatności pozwala przeprowadzić atak typu Remote Code Execution (RCE), który umożliwia hakerom łatwe zainstalowanie backdoorów do późniejszego ich wykorzystania.

Uwaga! Firmy, które korzystają z serwera Microsoft Exchange w chmurze nie muszą nic robić. Ich synchronizacja kontaktów, kalendarzy, notatek firmowych jest bezpieczna.

Aktualizacje wydają także producenci rozwiązań do zabezpieczeń sieci i stacji roboczych. Zrobił to Fortinet, aby chronić klientów przed explitami, jak równeż Palo Alto, Microsoft i wielu innych. Należy odnotować, że skuteczna ochrona sieci firmowej nie jest uwarunkowana tylko i wyłącznie aktualizacjami bezpieczeństwa Microsoft Exchange. Niewątpliwie załatanie produktu jest bardzo ważne i to w trybie pilnym, jednakże nowoczesne rozwiązania monitorujące stacje robocze przed zagrożeniami i atakami nie powinny mieć problemu z zaobserwowaniem anomalii występujących w sieci.

Lokalne serwery Microsoft Exchange są celem hakerów

Według Microsoftu grupa hakerów HAFNIUM jest sponsorowana przez jedno z konkurencyjnych państw, którym zależy, aby dywersyfikować liczne sektory przemysłu i gospodarki w Stanach. Raporty wskazują na coś innego – kampania początkowo wymierzona w USA, rozprzestrzenia się na cały świat. W operacji cyberprzestępczej cztery luki w zabezpieczeniach Exchange i połączone razem, umożliwiają hakerom aktywne wykorzystanie tych serwerów do dalszej eskalacji incydentu ataku.

Firma ESET, dzięki licznym informacjom zwrotnym z produktów biznesowych zainstalowanych na serwerach i komputerach firmowych, opracowała statystyki rozprzestrzeniania się exploitów.

Podobnie firma Kaspersky, wykorzystując sieć Kaspersky Security Network, przetwarza w czasie rzeczywistym żądania napływające od produktów tej firmy zainstalowanych na komputerach użytkowników korporacyjnych i indywidualnych. Sieć KSN jest oparta na chmurze i od dawna stanowi skuteczne narzędzie do walki z najnowszymi zagrożeniami.

Skala rozprzestrzeniania się exploitów wymierzonych w serwery Microsoft Exchange.
Skala rozprzestrzeniania się exploitów wymierzonych w serwery Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065).

Firma Microsoft dokładnie opisała w jaki sposób może dojść do zainfekowania systemów, i które wersje Microsoft Exchange są zagrożone atakiem. Dostępne są także sygnatury Yara oraz liczne wskaźniki zagrożeń (IoC, z jęz. ang. Indicators of Compromise), które są publikowane przez firmy zajmujące się cyberbezpieczeństwem. To wszystko może być pomocne przy budowaniu wewnętrznych reguł bezpieczeństwa oraz zintegrowanie ich z rozwiązaniem ochronnym używanym w organizacji.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

Porównanie rozwiązań ochronnych

DLA GOSPODARSTWA DOMOWEGO I MIKRO FIRMY

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone