Министерство внутренней безопасности объявляет атаку Microsoft Exchange "чрезвычайной"

Служба национальной безопасности объявила продолжающуюся атаку на Microsoft Exchange как чрезвычайную ситуацию. Атаки, начавшиеся ранее на этой неделе, нацелены на серверы Microsoft Exchange Server, объединяя несколько эксплойтов нулевого дня для доступа к защищенным учетным записям электронной почты.

Национальная безопасность: нападение - «недопустимый риск»

Национальная безопасность выдана Директива по чрезвычайным ситуациям 21-02 поздно вечером 3 марта, предоставив некоторую справочную информацию об атаке Microsoft Exchange.

Партнеры CISA наблюдали активное использование уязвимостей в локальных продуктах Microsoft Exchange. Ни уязвимости, ни выявленные эксплойты в настоящее время не влияют на развертывание Microsoft 365 или Azure Cloud. Успешная эксплуатация этих уязвимостей позволяет злоумышленнику получить доступ к локальным серверам Exchange Server, что позволяет им получить постоянный доступ к системе и контроль над корпоративной сетью.

Затем в директиве объясняется, что нападение такого рода «представляет неприемлемый риск для федеральных органов исполнительной власти и требует принятия срочных мер».

Служба национальной безопасности установила крайний срок - 12 часов вечера по восточному стандартному времени в пятницу, 5 марта, для федеральных агентств, которые должны соблюдать протоколы анализа и смягчения последствий, изложенные в директиве.

В настоящее время каждое агентство должно идентифицировать свои серверы Microsoft Exchange Server, проводить судебно-медицинскую экспертизу своей системы. память, журналы и кусты реестра, а затем проанализируйте результаты на наличие признаков кражи учетных данных или других компромиссы.

Связанный: Лучшие бесплатные альтернативы Microsoft Outlook

Кто атакует серверы Microsoft Exchange?

Microsoft указала цифру прямо на китайскую хакерскую группу национального государства, известную как HAFNIUM. Обычно компаниям требуется немного больше времени, чтобы назвать подозреваемого, но Microsoft почти не сомневается, что за атакой стоит «высококвалифицированный и искушенный субъект».

Центр аналитики угроз Microsoft (MSTIC) с высокой степенью уверенности приписывает эту кампанию группе HAFNIUM. оценивается как спонсируемый государством и действующий за пределами Китая, на основании наблюдаемой виктимологии, тактики и процедуры.

Частично это связано с тем, что атака Microsoft Exchange объединяет четыре ранее неизвестные уязвимости. Подробности можно прочитать на официальной Блог о безопасности Microsoft.

Microsoft также отмечает, что она наблюдала, как HAFNIUM взаимодействует с ее пакетом Microsoft Office 365, исследуя уязвимости. Он также подтвердил, что эта атака не имеет никакого отношения к SolarWinds, огромной кибератаке, затронувшей несколько правительственных агентств США, а также несколько ведущих технологических компаний.

Связанный: Microsoft раскрыла фактическую цель кибератаки SolarWinds

Хорошая новость заключается в том, что, хотя эти атаки продолжаются и представляют значительную угрозу для Microsoft Exchange Server, группа безопасности Microsoft уже выпустила серию исправлений для смягчения последствий уязвимости.

Вы можете найти более подробную информацию об исправлениях Microsoft Exchange Server на Сайт сообщества Microsoft Tech Community, в том числе о том, как загружать и устанавливать обновления, а также о том, как сканировать серверы Exchange на наличие признаков взлома.

6 простых способов повысить безопасность в Microsoft Defender и Windows 10

Microsoft Defender - это встроенный в Windows 10 инструмент безопасности. Сделайте его еще лучше с помощью этих 6 простых улучшений безопасности.

Об авторе