USD28.2033

СНБО предупреждает о высоком уровне киберугроз из-за уязвимости Microsoft Exchange

СНБО предупреждает о высоком уровне киберугроз из-за уязвимости Microsoft Exchange

Национальный координационный центр кибербезопасности при Совете национальной безопасности и обороны Украины предупреждает об активной эксплуатации уязвимостей в распространенном программном продукте Microsoft Exchange.

Как передает Укринформ, об этом сообщает СНБО.

"В случае успешной эксплуатации уязвимостей атакующие имеют возможность выполнить произвольный код в уязвимых системах и получить полный доступ к скомпрометированному серверу, включая доступ к файлам, электронной почте, учетным записям и тому подобное. Кроме того, успешная эксплуатация уязвимостей позволяет получить несанкционированный доступ к ресурсам внутренней сети организации ", – говорится в сообщении.

Уязвимыми являются локальные версии Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019. Информация о уязвимостях в облачных версиях Microsoft 365, Exchange Online, Azure Cloud отсутствует.

Сейчас активно эксплуатируются уязвимости CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (общее название – ProxyLogon), для уязвимостей CVE-2021-26412, CVE-2021-26854, CVE- 2021-27078 отсутствуют публично доступные эксплойты.

Наибольшую активность в эксплуатации уязвимых систем проявила китайская кибершпионская группировка Hafnium, но сейчас уже подтверждена активность других хакерских групп, среди которых Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic, Winnti Group (BARIUM, APT41), Tonto Team (CactusPete), ShadowPad, Mikroceen, DLTMiner.

Уязвимость эксплуатируется не только группами, за которыми стоят спецслужбы, но и киберпреступниками. Подтверждены факты инфицирования уязвимых систем программами-вымогателями, в частности новых семейств DearCry, DoejoCrypt. Сумма выкупа, которую требовали преступники в одном из подтвержденных случаев, составила более 16 тысяч долларов.

Читайте также:

Porsche представила новый люксовый Macan

Скомпрометированные серверы также используются для рассылок вредного программного обеспечения для дальнейшего инфицирования максимального количества организаций. В Украине уже зафиксировано несколько таких инцидентов.

"Обычно после компрометации следующими фазами являются разведка (сбор данных об информационных системах), а впоследствии – похищение информации. Это требует определенного времени, затем во многих случаях ценные данные шифруются или удаляются, и за них требуют выкуп. Такой механизм развития кибератак создает существенные угрозы потери данных в скомпрометированных организациях в ближайшее время – от недели до месяцев ", – добавляют в СНБО.

Читайте также:

Мини-вертолет сделал снимок марсохода NASA на Красной планете

Microsoft выпустила пакеты обновлений для уязвимых версий и программные инструменты, предназначенные для самостоятельной проверки наличия уязвимости (https://github.com/microsoft/CSS-Exchange/tree/main/Security). По результатам анализа установок обновлений и сообщениям партнеров, процедура обновления не всегда автоматически позволяет обеспечить защиту от уязвимостей для всех минорных версий Microsoft Exchange Server. Так, по сообщению парламента Норвегии, их информационные системы были взломаны и украдены данные, хотя обновления были установлены.

Поэтому во время установки пакетов обновлений необходимо учесть следующее:

Обновления необходимо применить из командной строки от имени пользователя с правами администратора, после установки необходимо перезагрузить сервер.

После завершения процесса обновлений необходимо провести повторную проверку возможности эксплуатации уязвимости (инструменты – утилита MSERT https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download или скрипт nmap https: //github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse).

Читайте также:

Количество активных пользователей «Дії» превысила 6 миллионов

Ранее компания Microsoft сообщала о несанкционированном доступе к фрагментам исходного кода ее продуктов во время масштабной кибератаки на государственные учреждения и частные организации США, которая получила название Solorigate. Есть данные, что некоторые из обнаруженных уязвимостей эксплуатировались (как уязвимости нулевого дня) по меньшей мере за 2 месяца до выпуска пакетов обновлений Microsoft Exchange Server.

Поэтому НКЦК рекомендует рассматривать системы уязвимых версий Microsoft Exchange Server и сети, в которых они используются, как скомпрометированные, и задействовать процедуры реагирования на инцидент. Если во время реагирования факт компрометации не подтверждается, рекомендуется усилить меры мониторинга событий безопасности и следить за развитием ситуации, поскольку поступают новые данные о тактике, технике и процедуре действий атакующих, и обновляются индикаторы компрометации.

По состоянию на 12 марта в Украине выявлено более 1000 уязвимых серверов Microsoft Exchange Server, из них 98,7% используются в частном секторе.

НКЦК призывает сразу сообщать о фактах компрометации или попытках эксплуатации уязвимостей по адресу report@ncscc.gov.ua для скоординированного реагирования. Специалисты НКЦК готовы оказать техническую и консультативную помощь при реагировании, в частности организациям частного сектора.

Агентство CISA (США) рекомендует осуществлять поиск признаков компрометации по меньшей мере с 1 января 2021 года.

Проверить наличие признаков компрометации можно путем выполнения скрипта (Microsoft) Test-ProxyLogon.ps1 (https://github.com/microsoft/CSS-Exchange/tree/main/Security)

Во время эксплуатации уязвимостей в скомпрометированную систему устанавливается т.н. вебшел – скрипт, предназначенный для удаленного доступа и управления (администрирования) инфицированной системой. Обычно вебшел используется для кражи учетных данных, загрузки другого вредоносного кода (например, с целью поиска других жертв и их заражения), в качестве командного сервера для управления другими инфицированными системами.

Как сообщал Укринформ, 4 марта Рабочая группа при Национальном координационном центре кибербезопасности Совета национальной безопасности и обороны Украины одобрила проект Стратегии кибербезопасности Украины на 2021-2025 годы.

Очень плохоПлохоСреднеХорошоОтлично (Еще нет голосов, оставьте первым)
Загрузка...

Комментарии (0)

    Чтобы оставить комментарий необходимо

    "В политических играх, в отличие от игры в жмурки, лишь немногие видят всё, а у всех остальных – повязки на глазах."

    © П. Буаст

    Бутусов: Россия де-факто из оккупированных территорий Донбасса сделала “Придонбасье”

    СНБО внедрил систему мониторинга олигархов: она может работать с тайными документами

    В Україні почали діяти нові правила карантину. 10 головних фактів, які треба знати

    В Юпитер врезался неизвестный космический объект

    Разумков & Зеленський. Що між ними сталося? 

    Обе дозы вакцины против коронавируса получили уже более 5,1 миллиона украинцев

    Корабль с гражданской миссией Inspiration4 успешно приводнился у Флориды

    “Выборы” РФ в Крыму и на Донбассе. Украина призвала мир считать нелегитимной новую Госдуму

    В NASA представили новые функции 3D-модели марсохода Perseverance

    Тупицкий подал в суд на Офис президента

    Эрлинг Холанд забил 67 мячей в 67 матчах за “Боруссию”

    На Одещині поліцейського викрили в отриманні 260 тис. грн від вебкам-моделі: обіцяв не притягувати її до відповідальності

    “Возьми детей в Раду подудеть Разумкову” – Арахамия и Коломойский о “переговорах” на матче

    На Волині жінка, яку поховали чотири місяці тому, повернулася додому

    На Луну доставят флаг Украины, напечатанный на 3D-принтере из титана

    Росія вигадала нову можливість блокування процесу обміну утримуваними особами, – представник України в ТКГ Гармаш

    Плавал еще при викингах: ученые назвали возраст кита, скелет которого нашли украинские полярники

    Boeing инвестирует $200 миллионов в создание ударного беспилотника

    Жителей городов Украины спросили, как им работа мэров и коммунальных служб: итоги опроса

    Пограничники задержали австрийца на выезде из Украины: Прихватил с собой антиквариат