W ostatnim czasie przybrały na sile ataki na system Microsoft Exchange Server, które początkowo wiązały się z działalnością szpiegowską (głównie chińskiej grupy Hafnium), a później służyły zwykłym przestępcom do instalowania oprogramowania wymuszającego okup (ransomware). Ta druga fala ataków stała się możliwa dzięki temu, że wielu administratorów nie zainstalowało jeszcze łatek udostępnionych przez Microsoft. Jako że zagrożenie jest dość poważne, firma opublikowała poradnik, w którym przedstawia sposoby zabezpieczenia Exchange Server przed tymi atakami.
Microsoft potwierdził wcześniej, że przestępcy atakują niezałatane serwery Exchange (2013, 2016, 2019) i instalują na nich ransomware Dearcry, czyli złośliwe oprogramowanie szyfrujące pliki i wymuszające okup — sięgający przykładowo 16 tysięcy dolarów. Firmom korzystającym ze wszystkich wersji Exchange badacze zabezpieczeń rekomendowali przyjęcie założenia, że systemy zostały naruszone przed zainstalowaniem łatek, ponieważ wiadomo, iż atakujący wykorzystywali aktywnie te podatności przez co najmniej dwa miesiące, nim Microsoft opublikował poprawki. Zobaczmy, co nowego Microsoft ma do przekazania w tej sprawie.
Przez ostatnie tygodnie Microsoft i inni w branży bezpieczeństwa zaobserwowali wzmożone ataki wymierzone w serwery Exchange we wdrożeniach on-premise. Celem tych ataków jest rodzaj serwera e-mail, najczęściej używanego przez małe i średnie firmy, choć też i większe organizacje z serwerami w modelu Exchange on-premise zostały tym dotknięte. Exchange Online nie jest podatny na te ataki.
Choć zaczęło się to jako atak sponsorowany przez państwo [nation-state], podatności te są exploitowane przez inne organizacje przestępcze, wliczając w to nowe ataki ransomware [z wymuszeniem okupu] z potencjałem innych szkodliwych aktywności.
Teraz jest to tym, co nazywamy szeroko zakrojonym atakiem, a dotkliwość tych exploitów oznacza, że ochrona waszych systemów ma krytyczne znaczenie. Podczas gdy Microsoft ma zwyczajne metody dostarczania narzędzi do aktualizowania oprogramowania, ta niezwykła sytuacja wzywa do nadzwyczajnego podejścia. Oprócz naszych regularnych aktualizacji software'u dostarczamy również konkretne aktualizacje dla starszego i niewspieranego już oprogramowania w celu uczynienia możliwie łatwym szybką ochronę waszych biznesów.
Pierwszym krokiem jest upewnienie się, że wszystkie adekwatne aktualizacje zabezpieczeń są zaaplikowane w każdym systemie. Odnajdźcie wersję Exchange Server, której używacie, i zaaplikujcie aktualizację. Zapewni to ochronę przed znanymi atakami i da organizacji czas na zaktualizowanie serwerów do wersji, która posiada pełną aktualizację zabezpieczeń.
Następny krok to identyfikacja, czy którekolwiek systemy zostały naruszone, a jeśli tak, to również usunięcie ich z sieci. Udostępniliśmy zalecane serie kroków i narzędzi, które w tym pomogą — wliczając w to skrypty, które pozwolą Wam przeprowadzić skanowanie w poszukiwaniu sygnałów naruszenia, nową wersję Microsoft Safety Scanner, aby zidentyfikować podejrzane malware, i nowy zestaw wskaźników naruszenia, który jest aktualizowany w czasie rzeczywistym i szeroko udostępniany. Te nowe narzędzia są dostępne teraz, a my zachęcamy wszystkich klientów do ich wdrożenia.
Nasz zespół obsługi klienta pracuje przez całą dobę wraz z firmami hostingowymi i naszą społecznością partnerów, aby podnieść świadomość wśród potencjalnie dotkniętych klientów. Z pomocą społeczności pracujemy nad zwiększeniem świadomości istnienia tych krytycznych aktualizacji i narzędzi u ponad 400 000 klientów.
Aby zilustrować zasięg tego ataku i pokazać postępy w zaktualizowanych systemach, pracowaliśmy z RiskIQ. W oparciu o telemetrię od RiskIQ odnotowaliśmy totalne uniwersum blisko 400 000 serwerów Exchange w dniu 1 marca. 9 marca było nieco ponad 100 000 wciąż podatnych serwerów. Liczba ta stale malała i zostało blisko 82 000 maszyn do zaktualizowania. Udostępniliśmy jeden dodatkowy zestaw aktualizacji 11 marca i wraz z nim wypuściliśmy aktualizacje obejmujące ponad 95% wszystkich wersji narażonych w Internecie.
Wreszcie grupy próbujące wykorzystać tę podatność, starają się zaimplantować ransomware i inne malware, które mogą przerwać ciągłość biznesową. Aby najlepiej się przed tym chronić, zachęcamy wszystkich klientów do przejrzenia poradnika dotyczącego ransomware od U.S. Cybersecurity Agency and Infrastructure Security, a także własnego poradnika Microsoftu na temat przygotowania się i ochrony przed tego rodzaju exploitem.
To już drugi raz w ciągu ostatnich czterech miesięcy, gdy aktorzy finansowani przez państwo [nation state actors] angażowali się w cyberataki z potencjałem zaszkodzenia firmom i organizacjom każdego rozmiaru. Wciąż dokładnie monitorujemy te wyrafinowane ataki i aplikujemy szeroko i głęboko naszą technologię, ludzkie doświadczenie i analitykę zagrożeń, aby lepiej chronić, wykrywać i odpowiadać.
Microsoft jest głęboko zobowiązany do wspierania naszych klientów przed tymi atakami, do wprowadzania innowacji w naszym podejściu do bezpieczeństwa i do bliskiego partnerstwa z rządami oraz branżą security, aby pomagać w utrzymaniu ochrony naszych klientów i społeczności.
— Microsoft Security Team
341f31d.png)