Ochrana on-premise Exchange serverov pred nedávnymi útokmi

 |   Bezpečnostný tým spoločnosti Microsoft

V posledných týždňoch zaznamenala spoločnosť Microsoft ako aj iné spoločnosti v bezpečnostnom priemysle, nárast útokov na Exchange servery prevádzkované on-premise. Cieľom týchto útokov je typ e-mailového servera, ktorý najčastejšie používajú malé a stredné firmy, hoci postihnuté boli aj väčšie organizácie používajúce on-premise Exchange servery. Exchange Online nie je zraniteľný voči týmto útokom.

Aj keď sa pôvodne útok začal ako štátom podporovaný, zraniteľné miesta zneužívajú aj iné zločinecké organizácie, vrátane nových ransomvér útokov, s potenciálom ďalších škodlivých aktivít.

Situáciu v súčasnosti považujeme za rozsiahly útok a závažnosť týchto zneužití znamená, že ochrana vašich systémov je zásadná. I keď  spoločnosť Microsoft ponúka štandardné metódy a nástroje pre aktualizáciu softvéru, táto mimoriadna situácia si vyžaduje dôraznejší prístup. Nad rámec našich pravidelných aktualizácií poskytujeme špecifické aktualizácie pre starší, ako aj už nepodporovaný softvér, s cieľom čo najviac uľahčiť rýchlu ochranu  vášho prostredia.

Prvým krokom je zabezpečiť, aby boli všetky príslušné bezpečnostné aktualizácie aplikované na každý systém. Identifikujte verziu Exchange servera, ktorý používate a aktualizujte ju. To zaistí ochranu pred známymi útokmi a zároveň poskytne vašej organizácii čas na aktualizáciu serverov na verziu, ktorá má všetky bezpečnostné aktualizácie.

Ďalším dôležitým krokom je identifikovať či boli vaše systémy napadnuté, a ak áno, odpojte ich zo siete. Pripravili sme sériu odporúčaných krokov a nástrojov, ktoré vám pomôžu – vrátane skriptov, ktoré vám umožnia identifikovať znaky napadnutia, novú verziu Microsoft Safety Scanner na identifikáciu podozrivého škodlivého softvéru a taktiež novú sadu identifikátorov napadnutia, ktorá je aktualizovaná v reálnom čase a široko zdieľaná. Tieto nástroje sú už k dispozícii a odporúčame všetkým zákazníkom, aby ich nasadili.

Náš tím podpory pre zákazníkov nepretržite pracuje spolu s hostingovými spoločnosťami a celou partnerskou komunitou na zvyšovaní povedomia  potenciálne postihnutých zákazníkov. S pomocou komunity pracujeme na zvyšovaní povedomia o týchto kritických aktualizáciách a nástrojoch u vyše 400 000 zákazníkov.

Pre ilustráciu rozsahu tohto útoku a lepšiu predstavu o pokroku v aktualizácii systémov, pracujeme so spoločnosťou RiskIQ. Na základe telemetrie od tejto spoločnosti sme k 1. marcu 2021 evidovali celkovo 400 000 Exchange serverov. K 9. marcu 2021 bolo zraniteľných stále niečo cez 100 000 serverov. Tento počet neustále klesá, pričom stále ešte zostáva aktualizovať okolo 82 000 serverov. Dňa 11. marca 2021 sme publikovali ďalšiu sadu aktualizácií, s ktorou pokrývame viac ako 95% všetkých verzií zverejnených pripojených na internet.

Naviac, skupiny, ktoré sa snažia využiť túto zraniteľnosť, sa pokúšajú implantovať ransomware a iný škodlivý softvér, ktorý by mohol narušiť prevádzku organizácií. V záujme čo najlepšej ochrany pred týmito aktivitami, odporúčame všetkým zákazníkom, aby si prešli odporúčania týkajúce sa ransomwaru od americkej agentúry pre kybernetickú bezpečnosť (U.S. Cybersecurity Agency and Infrastructure Security), ako aj odporúčania spoločnosti Microsoft, o tom ako sa pripraviť a chrániť pred týmto druhom zneužitia.

Je to už druhýkrát za posledné štyri mesiace, čo sa aktéri národných štátov angažovali v kybernetických útokoch za účelom napadnúť firmy a organizácie všetkých veľkostí. Tieto sofistikované útoky naďalej pozorne sledujeme a využívame celý rozsah našich technológií, odborných znalostí a dostupných informácií o hrozbách tak, aby sme im čo najlepšie predchádzali, rozpoznali ich ako aj na ne reagovali.

Spoločnosť Microsoft je plne zaviazaná podporovať svojich zákazníkov v boji proti týmto útokom, inovovať svoje prístupy k zabezpečeniu a úzko spolupracovať s vládami a bezpečnostným priemyslom, s cieľom pomôcť svojim zákazníkom a komunitám zostať v bezpečí.

 

Tags: