Pastarąsias kelias savaites „Microsoft“ ir kiti saugumo sektoriaus atstovai stebėjo išaugusį atakų skaičių prieš vietinius (on-premises) „Exchange“ serverius. Šios atakos yra nukreiptos prieš el. pašto serverio tipą, kurį dažniausiai naudoja mažos ir vidutinės įmonės. Tiesa, tai taip pat paveikė ir didesnes organizacijas, naudojančias vietinius „Exchange“ serverius. „Exchange Online“ nėra pažeidžiamas šių atakų.
Nors tai prasidėjo kaip valstybės remiamų programišių grupuotės ataka, pažeidžiamumais naudojasi ir kitos nusikalstamos organizacijos, įskaitant naujas išpirkos reikalaujančias atakas. Taip pat išlieka tikimybė, kad pažeidžiamumas gali būti išnaudojamas ir kitoms kenkėjiškoms veikloms.
Šį atvejį klasifikuojame kaip plataus masto ataką, o pažeidžiamumo keliamų grėsmių lygis – itin aukštas, todėl kritiškai svarbu apsaugoti savo sistemas ir infrastruktūrą. Nors „Microsoft“ turi įprastus metodus, skirtus atnaujinti programinę įrangą, ši ypatinga situacija reikalauja išskirtinio požiūrio. Be įprastų programinės įrangos atnaujinimų, mes taip pat teikiame specialius senesnės ir nebepalaikomos programinės įrangos atnaujinimus, kad būtų galima kuo lengviau ir greičiau apsaugoti jūsų verslą.
Pirmasis žingsnis – įsitikinti, kad visi reikalingi saugos naujinimai yra įdiegti kiekvienoje sistemoje. Suraskite naudojamą „Exchange Server“ versiją ir įdiekite atnaujinimus. Tai apsaugos nuo žinomų atakų ir suteiks jūsų organizacijai laiko atnaujinti serverius į versiją, kurioje yra pilnas saugumo atnaujinimas.
Kitas svarbus žingsnis – nustatyti, ar kuri nors sistema nebuvo pažeista, ir, jei taip, pašalinti ją iš tinklo. Pateikėme rekomenduojamus žingsnius ir įrankius, įskaitant skriptus, kurie leis aptikti pažeidimo požymius. Taip pat siūlome naują „Microsoft Safety Scanner“ versiją įtariamai kenkėjiškai programai nustatyti ir naują pažeidimo ženklų rinkinį, kuris atnaujinimas realiu laiku. Šie įrankiai yra prieinami jau dabar ir raginame visus klientus juos įdiegti.
Mūsų klientų aptarnavimo komanda artimai dirba kartu su prieglobos bendrovėmis ir mūsų partnerių bendruomene, kad informuotume potencialiai paveiktus klientus. Padedami bendruomenės, mes stengiamės skleisti žinią apie šiuos svarbius atnaujinimus ir įrankius, turėdami daugiau nei 400 000 klientų.
Norėdami parodyti šios atakos mastą ir pažangą, padarytą atnaujinant sistemas, dirbame su „RiskIQ“. Remiantis „RiskIQ“ telemetrijos duomenimis, kovo 1 d. fiksavome beveik 400 000 „Exchange“ serverių. Kovo 9 d. pažeidžiamais vis dar buvo kiek daugiau nei 100 000 serverių. Šis skaičius nuolat mažėja – atnaujinti reikia dar apie 82 000 serverių. Kovo 11 d. išleidome papildomą atnaujinimų rinkinį, kuris apima daugiau nei 95% visų prie interneto prijungtų šių serverių versijų.
Galiausiai grupės, bandančios pasinaudoti šiuo pažeidžiamumu, bando išnaudoti išpirkos ir kitas kenkėjiškas programas, kurios gali paveikti verslo tęstinumą. Siekiant nuo to kuo geriau apsisaugoti, visiems klientams rekomenduojame susipažinti su JAV Kibernetinio ir infrastruktūros saugumo agentūros parengtomis gairėmis prieš išpirkos reikalaujančias atakas bei „Microsoft“ rekomendacijomis, kaip pasiruošti ir apsisaugoti nuo tokio tipo atakų.
Tai yra antras kartas per pastaruosius keturis mėnesius, kai valstybės remiamos programišių grupuotės rengia kibernetines atakas, galinčias paveikti visų dydžių įmones ir organizacijas. Mes ir toliau atidžiai stebime šias atakas ir pritaikome savo technologinius sprendimus, patirtį, kad galėtume efektyviau jų išvengti, aptikti ir į jas reaguoti.
„Microsoft“ yra tvirtai pasiryžusi palaikyti savo klientus kovoje prieš šiuos išpuolius, diegti inovacijas saugumo strategijoje ir glaudžiai bendradarbiauti su vyriausybėmis bei saugumo sektoriumi, kad padėtume apsaugoti klientus ir bendruomenes.