Tėvynės saugumas paskelbė nuolatinę ataką prieš „Microsoft Exchange“ kaip nepaprastąją padėtį. Šios savaitės pradžioje prasidėjusios atakos nukreiptos į „Microsoft Exchange“ serverius, sujungiant kelis „nulinės dienos“ išnaudojimo būdus, norint pasiekti saugias el. Pašto paskyras.
Tėvynės saugumas: ataka yra „nepriimtina rizika“
Tėvynės saugumas išduotas Ekstremalių situacijų direktyva 21-02 kovo 3 d. vėlai, pateikdamas pagrindinės informacijos apie „Microsoft Exchange“ ataką.
CISA partneriai pastebėjo aktyvų „Microsoft Exchange“ vietinių produktų pažeidžiamumų išnaudojimą. Nei pažeidžiamumas, nei nustatyta išnaudojimo veikla šiuo metu neturi įtakos „Microsoft 365“ ar „Azure Cloud“ diegimams. Sėkmingai išnaudojus šias spragas, užpuolikas gali pasiekti vietinius „Exchange“ serverius, suteikdamas jiems nuolatinę prieigą prie sistemos ir įmonės tinklo kontrolę.
Tuomet direktyvoje paaiškinama, kad tokio pobūdžio išpuolis „kelia nepriimtiną riziką Federalinės civilinės vykdomosios valdžios agentūroms ir reikalauja skubių veiksmų“.
Tėvynės saugumas nustatė kovo 5 d., Penktadienį, 12 val. EST terminą federalinėms agentūroms laikytis direktyvoje nustatytų analizės ir švelninimo protokolų.
Šiuo metu kiekviena agentūra turi identifikuoti savo „Microsoft Exchange“ serverius, užbaigti teismo ekspertizės procesą atminties, žurnalų ir registro avilių, tada išanalizuokite bet kokių kredencialų vagystės ar kitų rodiklių rezultatus kompromisus.
Susijęs: Geriausios nemokamos „Microsoft Outlook“ alternatyvos
Kas puola „Microsoft Exchange“ serverius?
„Microsoft“ atkreipė dėmesį į Kinijos nacionalinės valstybės įsilaužimų grupę, vadinamą HAFNIUM. Paprastai įmonės imasi šiek tiek daugiau laiko, kol įsipareigoja įvardyti įtariamąjį, tačiau „Microsoft“ beveik neabejoja, kad užpuolimo slypi „aukštos kvalifikacijos ir rafinuotas veikėjas“.
„Microsoft Threat Intelligence Center“ (MSTIC) šią kampaniją labai patikimai priskiria grupei „HAFNIUM“ įvertintas kaip valstybės remiamas ir veikiantis ne Kinijoje, remiantis pastebėta viktimologija, taktika ir procedūras.
Dalis to priežastis yra ta, kad „Microsoft Exchange“ atakos eilutės sujungia keturias anksčiau nežinomas spragas. Apie pareigūną galite perskaityti išsamią informaciją „Microsoft Security“ tinklaraštis.
„Microsoft“ taip pat pažymi, kad pastebėjo, kaip HAFNIUM sąveikauja su „Microsoft Office 365“ rinkiniu, tikrindamas pažeidžiamumą. Ji taip pat patvirtino, kad ši ataka nėra susijusi su didžiuliu kibernetiniu išpuoliu „SolarWinds“, kuris paveikė daugybę JAV vyriausybinių agentūrų, kartu su keliomis pirmaujančiomis technologijų kompanijomis.
Susijęs: „Microsoft“ atskleidžia faktinį „SolarWinds“ kibernetinio užpuolimo tikslą
Geros naujienos yra tai, kad nors šios atakos vyksta ir kelia „Microsoft“ didelę grėsmę "Microsoft" saugos komanda jau yra įdiegusi keletą pataisų, skirtų sušvelninti pažeidžiamumas.
Daugiau informacijos apie „Microsoft Exchange Server“ pataisas galite rasti „Microsoft Tech Community“ svetainė, įskaitant tai, kaip atsisiųsti ir įdiegti naujinimus, taip pat kaip nuskaityti „Exchange“ serverius, ar nėra kompromisų.
„Microsoft Defender“ yra „Windows 10“ integruotas saugos įrankis. Padarykite tai dar geriau naudodamiesi šiais 6 lengvais saugumo pagerinimais.
- Saugumas
- „Tech News“
- „Microsoft Exchange“
Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Really Useful Podcast“ bendradarbis. Jis buvo „MakeUseOf“ į šifravimą orientuotos sesers svetainės „Blocks Decoded“ redaktorius. Jis turi šiuolaikinio BA („Hons“) rašymą su skaitmeninio meno praktikomis, apiplėštomis nuo Devono kalvų, taip pat daugiau nei dešimtmetį profesionalios rašymo patirties. Jis mėgaujasi gausiu kiekiu arbatos, stalo žaidimų ir futbolo.
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!
Dar vienas žingsnis…!
Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.
