Pēdējo nedēļu laikā Microsoft un citi IT drošības nozares uzņēmumi ir novērojuši paaugstinātu uzbrukumu skaitu lokālajiem Exchange serveriem. Šo uzbrukumu mērķis galvenokārt ir e-pasta serveri, kurus visbiežāk izmanto mazie un vidējie uzņēmumi, taču tiek skartas arī lielākas organizācijas ar lokāliem Exchange serveriem. Exchange Online šīs ievainojamības nav attiecināmas.
Tas sākās kā starpvalstu mēroga uzbrukums, turklāt vājās vietas šajos serveros izmanto arī citas noziedzīgas organizācijas, tostarp notiek jauni ransom-ware (tiek bloķēta datora programmatūra un pieprasīta izpirkuma maksa) uzbrukumi, kas potenciāli var izraisīt citas ļaunprātīgas darbības.
Šobrīd mēs to klasificējam kā plaša mēroga uzbrukumu. Tas, kādā apjomā notiek šīs ļaunprātīgās darbības, nozīmē, ka daudzos gadījumos sistēmu aizsardzība ir kritiski zemā līmenī. Kaut arī Microsoft piedāvā regulāras metodes un rīkus programmatūras atjaunināšanai, šī ārkārtējā situācija prasa īpaši pārdomātu pieeju. Papildus mūsu parastajiem programmatūras atjauninājumiem mēs piedāvājam arī īpašus atjauninājumus vecākai un ārpus atbalsta esošai programmatūrai ar nolūku ātru klientu biznesa aizsardzību padarīt pēc iespējas vienkāršāku un efektīgāku.
Pirmais solis ir pārliecināties, vai katrai sistēmai tiek lietoti visi atbilstošie drošības atjauninājumi. Sameklējiet Exchange Server versiju, kuru patlaban izmantojat, un pārliecinieties, ka tiek lietoti visi atjauninājumi. Tas nodrošinās aizsardzību pret zināmu daļu uzbrukumu un dos jūsu organizācijai laiku atjaunināt serverus uz versiju ar pilnu drošības atjauninājumu pieejamību.
Nākamais svarīgais solis ir identificēt, vai kāda no sistēmām nav apdraudēta. Mēs esam nodrošinājuši informāciju par ieteicamo darbību un rīku secību, tostarp skriptus, kas ļauj meklēt apdraudējuma pazīmes, jaunu Microsoft drošības skenera versiju ar mērķi identificēt aizdomas par ļaunprātīgu programmatūru un jaunu apdraudējumu rādītāju kopumu, kas tiek atjaunināts reāllaikā. Šie rīki ir pieejami jau tagad, un mēs iesakām tos izmantot visiem klientiem.
Mūsu klientu apkalpošanas komanda strādā nepārtrauktā režīmā kopā ar mūsu partneru kopienu, lai nodrošinātu informāciju potenciāli apdraudētajiem klientiem. Ar kopienas palīdzību mēs cenšamies pēc iespējas ātrāk informēt vairāk nekā 400 000 klientus par šiem svarīgajiem atjauninājumiem un rīkiem.
Lai ilustrētu šī uzbrukuma apjomu un parādītu progresu sistēmu atjaunināšanā, mēs sadarbojamies ar RiskIQ. Pamatojoties uz RiskIQ telemetrijas datiem, 1. martā bija redzams, ka apdraudēti varētu būt gandrīz 400 000 Exchange serveru. Līdz 9. martam joprojām bija nedaudz vairāk par 100 000 šādu serveru. Skaitlis turpina samazināties, un šobrīd ir jāatjaunina vēl aptuveni 82 000 serveru. 11. martā izlaidām vienu papildu atjauninājumu komplektu, un tādējādi esam izlaiduši atjauninājumus, kas aptver vairāk nekā 95% no visām internetā pieejamajām versijām.
Grupējumi, kas mēģina izmantot šo ievainojamību, mēģina implantēt izpirkuma programmatūru un citas ļaunprātīgas programmatūras, kas var pārtraukt vai traucēt uzņēmumu darbību. Lai sevi no tā vislabāk pasargātu, visiem klientiem iesakām iedziļināties ASV Kiberdrošības aģentūras infrastruktūras drošības norādījumos par izpirkuma programmatūrām, kā arī Microsoft norādījumos par to, kā aizsargāties pret šādiem uzbrukumiem.
Šī ir otrā reize pēdējo četru mēnešu laikā, kad ļaundari starpvalstu mērogā iesaistās kiberuzbrukumos ar potenciālu ietekmēt visu lielumu uzņēmumus un organizācijas. Mēs turpinām cieši uzraudzīt šos sarežģītos uzbrukumus un padziļināti pielietot mūsu tehnoloģijas, cilvēku kompetences un draudu apzināšanas prasmes, lai labāk atklātu un novērstu šādas situācijas.
Microsoft ir cieši apņēmies atbalstīt klientus pret šiem uzbrukumiem, ieviest jauninājumus mūsu drošības pieejās un cieši sadarboties ar valdībām un IT drošības nozari, lai palīdzētu aizsargāt klientus un citas sabiedrības kopienas.