W ciągu ostatnich kilku tygodni Microsoft oraz inne firmy z branży zajmującej się bezpieczeństwem zaobserwowały wzrost liczby ataków na lokalne serwery Exchange. Celem ataków jest serwer pocztowy najczęściej używany przez małe i średnie firmy, choć atakowane są również większe organizacje posiadające lokalny serwer Exchange. Exchange Online nie jest podatny na te ataki.
Chociaż zapoczątkował to atak dokonany przez podmiot państwowy, luki są wykorzystywane przez inne organizacje przestępcze, w tym do nowych ataków typu ransomware, co może prowadzić do innych złośliwych działań.
Obecnie mamy do czynienia z atakiem na szeroką skalę, a powaga tych ataków oznacza, że ochrona systemów jest krytyczna. Chociaż firma Microsoft stosuje regularne metody dostarczania narzędzi do aktualizacji oprogramowania, ta wyjątkowa sytuacja wymaga wzmożonego podejścia. Oprócz naszych regularnych aktualizacji oprogramowania, udostępniamy również specjalne aktualizacje dla starszego i niewspieranego oprogramowania, aby jak najbardziej ułatwić szybką ochronę firmy.
Pierwszym krokiem jest upewnienie się, że wszystkie odpowiednie aktualizacje zabezpieczeń są zainstalowane na każdym systemie. Znajdźcie wersję serwera Exchange, na której pracujecie i zainstalujcie aktualizację. Zapewni to ochronę przed znanymi atakami i da organizacji czas na zaktualizowanie serwerów do wersji, która posiada pełną aktualizację zabezpieczeń.
Następnym krytycznym krokiem jest zidentyfikowanie czy jakieś systemy zostały naruszone, a jeżeli tak, to usunięcie ich z sieci. Przedstawiliśmy zalecaną serię kroków i narzędzi, które mają w tym pomóc – w tym skrypty pozwalające na skanowanie w poszukiwaniu oznak naruszeń, nową wersję skanera bezpieczeństwa firmy Microsoft do identyfikacji podejrzanego złośliwego oprogramowania oraz nowy zestaw wskaźników naruszeń, który jest aktualizowany w czasie rzeczywistym i szeroko udostępniany. Narzędzia te są już dostępne i zachęcamy wszystkich klientów do ich wdrożenia.
Nasz zespół obsługi klienta pracował przez całą dobę wraz z firmami hostingowymi i społecznością naszych partnerów, aby zwiększyć świadomość wśród potencjalnie zagrożonych klientów. Z pomocą społeczności pracujemy nad zwiększeniem świadomości na temat tych krytycznych aktualizacji i narzędzi u ponad 400 000 klientów.
Aby zilustrować zakres tego ataku i pokazać postępy w aktualizowaniu systemów, współpracowaliśmy z RiskIQ. Na podstawie danych telemetrycznych z RiskIQ, w dniu 1 marca zaobserwowaliśmy, że atak objął łącznie prawie 400 000 serwerów Exchange. Do 9 marca było to nieco ponad 100,000 serwerów wciąż podatnych na ataki. Liczba ta systematycznie spada, a do aktualizacji pozostało już tylko około 82 000 serwerów. W dniu 11 marca udostępniliśmy dodatkowy zestaw aktualizacji, dzięki czemu udostępniliśmy aktualizacje obejmujące ponad 95% wszystkich wersji narażonych na ataki w Internecie.
Wreszcie, grupy próbujące wykorzystać tę lukę starają się wszczepić oprogramowanie ransomware i inne złośliwe oprogramowanie, które może przerwać ciągłość działania firmy. Aby najlepiej się przed tym zabezpieczyć, zachęcamy wszystkich klientów do zapoznania się z wytycznymi dotyczącymi oprogramowania ransomware, opracowanymi przez amerykańską agencję ds. bezpieczeństwa cybernetycznego (U.S. Cybersecurity Agency) oraz agencję ds. bezpieczeństwa infrastruktury (Infrastructure Security), a także z własnymi wytycznymi firmy Microsoft dotyczącymi przygotowania i ochrony przed tego rodzaju exploitami.
To już drugi raz w ciągu ostatnich czterech miesięcy, gdy podmioty państwowe zaangażowały się w cyberataki, które mogą mieć wpływ na firmy i organizacje każdej wielkości. W dalszym ciągu uważnie monitorujemy te wyrafinowane ataki i wykorzystujemy szeroki zakres naszej technologii, wiedzy i informacji o zagrożeniach, aby lepiej zapobiegać, wykrywać i reagować.
Firma Microsoft jest głęboko zaangażowana we wspieranie naszych klientów w walce z tymi atakami, w wprowadzanie innowacji do naszego podejścia do bezpieczeństwa oraz w ścisłą współpracę z rządami oraz branżą zajmującą się obszarem bezpieczeństwa, aby pomóc w zapewnieniu bezpieczeństwa naszym klientom i społecznościom.
Oryginalny wpis blogowy zespołu Microsoft Security znajdą Państwo TUTAJ.
