Ochrana on-premise Exchange Serverů před nedávnými útoky

Bezpečnostní tým společnosti Microsoft

V posledních týdnech zaznamenala společnost Microsoft, jako i další společnosti v bezpečnostním průmyslu, nárůst útoků na Exchange Servery provozovaných on-premise. Cílem těchto útoků je typ e-mailového serveru, který nejčastěji používají malé a střední podniky, i když postižené byly i větší organizace provozující on-premise řešení Exchange Serveru. Exchange Online není zranitelný tímto typem útoků.

I když útok původně začal jako státem podporovaný, zranitelná místa zneužívají i jiné zločinecké organizace, včetně nových ransomware útoků, s potenciálem dalších škodlivých aktivit.

Situaci nyní považujeme za rozsáhlý útok a závažnost těchto zneužití znamená, že ochrana vašich systémů je nyní zásadní. I přesto, že společnost Microsoft nabízí standardní metody a nástroje pro aktualizaci softwaru, tato mimořádná situace si vyžaduje razantnější přístup. Nad rámec našich pravidelných aktualizací poskytujeme specifické aktualizace pro starší a již nepodporované verze softwaru, s cílem co nejvíce usnadnit rychlou ochranu vašeho prostředí.

Prvním krokem je zajistit, aby byly všechny příslušné bezpečnostní aktualizace aplikovány na každý systém. Identifikujte verzi Exchange Serveru, který používáte, a aktualizujte jej. To zajistí ochranu před známými útoky a zároveň poskytne vaší organizaci čas na aktualizaci serverů na verzi, která má veškeré bezpečnostní aktualizace.

Dalším důležitým krokem je identifikovat, zda vaše systémy byly napadeny, a pokud ano, odpojte je od sítě. Připravili jsme sadu doporučených kroků a nástrojů, které vám pomohou – včetně skriptů, které vám umožní identifikovat znaky napadení, novou verzi Microsoft Safety Scanneru pro identifikaci podezřelého škodlivého softwaru a taktéž novou sadu indikátorů napadení, která je aktualizovaná v reálném čase a široce sdílená. Tyto nástroje jsou již k dispozici a doporučujeme všem zákazníkům, aby je nasadili.

Náš tým zákaznické podpory nepřetržitě pracuje spolu s hostingovými společnostmi a celou partnerskou komunitou na zvyšování povědomí potenciálně dotčených zákazníků. S pomocí komunity pracujeme na zvyšování povědomí o těchto kritických aktualizacích a nástrojích u více 400 000 zákazníků.

Pro ilustraci rozsahu tohoto útoku a lepší představu o pokroku v aktualizaci systémů pracujeme se společností RiskIQ. Na základě telemetrie od této společnosti jsme k 1. březnu evidovali celkem 400 000 Exchange serverů. K 9. březnu bylo zranitelných stále ještě něco málo přes 100 000 serverů. Toto číslo neustále klesá, přičemž stále ještě zbývá aktualizovat kolem 82 000 serverů. Dne 11. března jsme publikovali další sadu aktualizací, se kterou pokrýváme více jak 95 % všech verzí připojených k internetu.

Navíc skupiny, které se snaží využít této zranitelnosti, se pokoušejí implantovat ransomware a další škodlivý software, který by mohl narušit provoz organizací. V zájmu co nejlepší ochrany před těmito aktivitami doporučujeme všem zákazníkům, aby si prošli doporučení týkající se ransomwaru od americké agentury pro kybernetickou bezpečnost (U.S. Cybersecurity Agency and Infrastructure Security), a stejně tak doporučení společnosti Microsoft, jak se připravit a chránit před tímto druhem zneužití.

Je to již podruhé za poslední čtyři měsíce, co se aktéři národních států angažovali v kybernetických útocích s účelem napadnout podniky a organizace všech velikostí. Tyto sofistikované útoky nadále pozorně sledujeme a využíváme celý rozsah našich technologií, lidské odbornosti a dostupných informací o hrozbách tak, abychom jim co nejlépe předcházeli, rozpoznali je a reagovali na ně.

Společnost Microsoft je plně zavázaná podporovat své zákazníky v boji proti těmto útokům, inovovat své přístupy k zabezpečení a úzce spolupracovat s vládami a bezpečnostním průmyslem, s cílem pomoci našim zákazníkům a komunitám zůstat v bezpečí.

Related Posts