Zalecenia dotyczące poważnych luk bezpieczeństwa w Microsoft Exchange

9 marca, 2021

Możliwe, że aż 30000 firm i agencji rządowych ze Stanów Zjednoczonych jest celem kampanii hackerskiej wymierzonej w exploitowanie luk w produkcie Microsoft Exchange Server. Niektóry eksperci twierdzą, że poza Stanami skala problemu jest jeszcze większa. Ataki przypisuje się grupie hakerów HAFNIUM – według Microsoftu prawdopodobnie pochodzą oni z Chin.

Początkiem marca firma Microsoft opublikowała kilka aktualizacji bezpieczeństwa dla MS Exchange Server 2013, MS Exchange Server 2016 i MS Exchange Server 2019. Jest to bardzo ważne, ponieważ poprawki są odpowiedzią na kilka aktywnie wykrywanych exploitów, wymierzonych w luki CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065. Jedna z podatności pozwala przeprowadzić atak typu Remote Code Execution (RCE), który umożliwia hakerom łatwe zainstalowanie backdoorów do późniejszego ich wykorzystania.

Uwaga! Firmy, które korzystają z serwera Microsoft Exchange w chmurze nie muszą nic robić. Ich synchronizacja kontaktów, kalendarzy, notatek firmowych jest bezpieczna.

Aktualizacje wydają także producenci rozwiązań do zabezpieczeń sieci i stacji roboczych. Zrobił to Fortinet, aby chronić klientów przed explitami, jak równeż Palo Alto, Microsoft i wielu innych. Należy odnotować, że skuteczna ochrona sieci firmowej nie jest uwarunkowana tylko i wyłącznie aktualizacjami bezpieczeństwa Microsoft Exchange. Niewątpliwie załatanie produktu jest bardzo ważne i to w trybie pilnym, jednakże nowoczesne rozwiązania monitorujące stacje robocze przed zagrożeniami i atakami nie powinny mieć problemu z zaobserwowaniem anomalii występujących w sieci.

Lokalne serwery Microsoft Exchange są celem hakerów

Według Microsoftu grupa hakerów HAFNIUM jest sponsorowana przez jedno z konkurencyjnych państw, którym zależy, aby dywersyfikować liczne sektory przemysłu i gospodarki w Stanach. Raporty wskazują na coś innego – kampania początkowo wymierzona w USA, rozprzestrzenia się na cały świat. W operacji cyberprzestępczej cztery luki w zabezpieczeniach Exchange i połączone razem, umożliwiają hakerom aktywne wykorzystanie tych serwerów do dalszej eskalacji incydentu ataku.

Firma ESET, dzięki licznym informacjom zwrotnym z produktów biznesowych zainstalowanych na serwerach i komputerach firmowych, opracowała statystyki rozprzestrzeniania się exploitów.

Podobnie firma Kaspersky, wykorzystując sieć Kaspersky Security Network, przetwarza w czasie rzeczywistym żądania napływające od produktów tej firmy zainstalowanych na komputerach użytkowników korporacyjnych i indywidualnych. Sieć KSN jest oparta na chmurze i od dawna stanowi skuteczne narzędzie do walki z najnowszymi zagrożeniami.

Skala rozprzestrzeniania się exploitów wymierzonych w serwery Microsoft Exchange.
Skala rozprzestrzeniania się exploitów wymierzonych w serwery Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065).

Firma Microsoft dokładnie opisała w jaki sposób może dojść do zainfekowania systemów, i które wersje Microsoft Exchange są zagrożone atakiem. Dostępne są także sygnatury Yara oraz liczne wskaźniki zagrożeń (IoC, z jęz. ang. Indicators of Compromise), które są publikowane przez firmy zajmujące się cyberbezpieczeństwem. To wszystko może być pomocne przy budowaniu wewnętrznych reguł bezpieczeństwa oraz zintegrowanie ich z rozwiązaniem ochronnym używanym w organizacji.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]