За последние несколько недель Microsoft и другие компании, работающие в сфере безопасности, стали свидетелями увеличения количества атак на локальные серверы Exchange. Целью таких атак являются почтовые серверы, чаще всего используемые малыми и средними предприятиями, хотя более крупные организации с локальными серверами Exchange также пострадали. Exchange Online не подвержен таким атакам.
Несмотря на то, что это началось с атак на государственные структуры, уязвимости также используются другими преступными организациями для осуществления новых атак, в том числе с целью вымогательства и других вредоносных действий.
Сейчас мы рассматриваем это как масштабный инцидент, и серьезность этих атак означает, что защита ваших систем критически важна. Хотя у Microsoft есть обычные методы предоставления обновлений программного обеспечения, данная ситуация требует особого подхода. В дополнение к нашим регулярным обновлениям программного обеспечения, мы также предоставляем специальные обновления для более старых и не поддерживаемых программ с целью максимально упростить для вас защиту бизнеса.
Первый шаг заключается в том, чтобы убедиться, что все необходимые обновления безопасности для каждой системы установлены. Найдите версию сервера Exchange, на котором вы работаете, и установите обновление. Это обеспечит защиту от известных атак и даст вашей организации время для обновления серверов до версии с полным обновлением безопасности.
Следующим важным шагом является определение того, были ли какие-либо системы скомпрометированы, и если да, то удалите их из сети. Мы подготовили рекомендуемый ряд шагов и инструментов для помощи – включая сценарии, которые позволят вам осуществлять сканирование на наличие признаков взлома, новую версию Microsoft Security Scanner для определения подозрительного вредоносного ПО, а также новый набор индикаторов взлома, который обновляется в режиме реального времени и предоставляется в общем доступе. Эти инструменты доступны уже сейчас, и мы призываем всех клиентов к их развертыванию.
Наша служба поддержки клиентов работает круглосуточно вместе с хостинговыми компаниями и сообществом наших партнеров, чтобы повысить осведомленность потенциальных клиентов. С помощью нашего сообщества мы работаем над повышением осведомленности об этих критических обновлениях и инструментах с более чем 400 000 клиентов.
Чтобы проиллюстрировать масштабы этой атаки и показать прогресс, достигнутый в обновлении систем, мы работаем с RiskIQ. Основываясь на телеметрии от RiskIQ, 1 марта мы увидели общую картину, состоящую из почти 400,000 серверов Exchange. К 9 марта было чуть более 100,000 серверов, которые все еще были уязвимы. Эта цифра неуклонно снижалась, оставалось обновить только около 82,000. Мы выпустили еще один пакет обновлений 11 марта, и таким образом охватили более 95% всех версий, выставленных в Интернете.
Наконец, группы, пытающиеся воспользоваться этой уязвимостью, делают это с целью вымогательства и установки других вредоносных программ, которые могут нарушить непрерывность бизнеса. Для лучшей защиты от этого мы призываем всех клиентов просмотреть руководство по вымогательствам от U.S. Cybersecurity Agency and Infrastructure Security, а также собственное руководство от Microsoft о том, как подготовиться и защититься от такого рода эксплойтов.
Корпорация Microsoft активно поддерживает своих клиентов в борьбе с кибератаками, внедряет инновационные подходы к обеспечению безопасности и тесно сотрудничает с государственными органами и организациями, занимающимися вопросами безопасности, чтобы обеспечить безопасность своих клиентов и сообществ.