V zadnjih nekaj tednih Microsoft in varnostna podjetja poročajo o povečanju napadov na strežnike Exchange na lokacijah strank. Tarče teh napadov so vrste strežnikov, ki jih najbolj pogosto uporabljajo mala in srednje velika podjetja, čeprav so bile prizadete tudi večje organizacije z lastnimi strežniki Exchange. Storitev Exchange Online na te napade ni ranljiva.
Čeprav je šlo v začetku za napad pod državnim vodstvom, ranljivosti izkoriščajo druge kriminalne organizacije, vključno z novim izsiljevalskim napadom, obstaja pa tudi potencial za druge zlonamerne dejavnosti.
Gre za obsežen napad, resnost groženj pa pomeni, da je varovanje vaših sistemov kritičnega pomena. Čeprav ima Microsoft redne metode za zagotavljanje orodij, potrebnih za posodobitev programske opreme, izjemne razmere zahtevajo okrepljen pristop. Ob naših rednih posodobitvah programske opreme prav tako nudimo posamezne posodobitve za starejšo programsko opremo in programsko opremo, ki ni več podprta, z namenom, da vam omogočimo čim bolj preprosto zavarovanje vašega podjetja.
V prvem koraku morate preveriti, da so v vseh sistemih nameščene vse potrebne varnostne posodobitve. Poiščite različico strežnika Exchange Server, ki jo uporabljate, in namestite posodobitev. S tem boste zagotovili zaščito pred znanimi napadi, obenem pa pridobili čas za posodobitev strežnikov v svoji organizaciji na različico s celovito varnostno posodobitvijo.
Naslednji ključni korak je ugotavljanje, če je bil katerikoli sistem kompromitiran, in, če je bil, njegova odstranitev iz omrežja. Zagotovili smo priporočljiv seznam korakov in orodij, ki vam pomagajo, vključno s skriptami za iskanje znakov vdora, novo različico orodja Microsoft Security Scanner za identificiranje sumljive škodljive programske opreme in novim naborom kazalnikov vdora, ki se posodablja v realnem času in je široko dostopen. Ta orodja so že na voljo in vse stranke spodbujamo, da jih uvedejo.
Naša skupina za podporo strankam neprestano sodeluje s podjetji za gostovanje in našo partnersko skupnostjo, da poveča osveščenost pri potencialno prizadetih strankah. S pomočjo te skupnosti krepimo ozaveščenost o kritičnih posodobitvah in orodjih pri več kot 400.000 strankah.
Da bi predstavili ta napad in napredek, ki smo ga naredili pri posodabljanju sistemov, sodelujemo s podjetjem RiskIQ. Na podlagi telemetrije podjetja RiskIQ smo ugotovili, da je 1. marca skupno delovalo skoraj 400.000 strežnikov Exchange. 9. marca je bilo ranljivih še malo več kot 100.000 strežnikov, ta številka pa vztrajno pada, saj je treba posodobiti še približno 82.000 strežnikov. 11. marca smo izdali dodaten nabor posodobitev, s čimer smo pripravili posodobitve, ki pokrijejo več kot 95 odstotkov vseh različic, ki so izpostavljene internetu.
Za zaključek: skupine, ki poskušajo izkoristiti to ranljivost, poskušajo namestiti izsiljevalsko in drugo škodljivo programsko opremo, ki bi lahko prekinila poslovanje. Za najboljšo zaščito pred tem spodbujamo vse stranke, da si ogledajo vodič za izsiljevalsko programsko opremo Agencije za spletno varnost in infrastrukturno varnost ZDA in tudi Microsoftove napotke, kako se pripraviti in zaščiti pred tovrstnimi napadi.
Že drugič v zadnjih štirih mesecih so akterji nacionalnih držav sodelovali v spletnih napadih s potencialom, da prizadenejo podjetja in organizacije vseh velikosti. Še naprej pozorno spremljamo te sofisticirane napade, za boljše preprečevanje, zaznavanje in odzivanje pa uporabljamo vso moč svoje tehnologije, človeškega znanja in obveščanja o grožnjah.
Microsoft je trdno zavezan, da pomaga svojim strankam pri tovrstnih napadih, inovacijam pri razvoju svojega varnostnega pristopa ter partnerskemu sodelovanju z vladami in varnostnimi podjetji pri varovanju strank in skupnosti.
