Microsoft випустила екстрені оновлення безпеки для поштового сервера Microsoft Exchange
microsoft випустила оновлення системи безпеки для поштового сервера Microsoft Exchange
Microsoft випустила екстрені оновлення безпеки для поштового сервера Microsoft Exchange, виправивши чотири вразливості нульового дня, які вже активно використовуються китайськими хакерами.
Вразливості існують на локальних серверах Exchange Servers 2010, 2013, 2016 і 2019. Це не впливає на службу Exchange Online. Ми хотіли переконатися, що ви були в курсі ситуації, і попросили б вас допомогти здійснити негайні кроки з виправлення ситуації.
Зокрема, щоб мінімізувати або уникнути наслідків цієї ситуації, корпорація Майкрософт настійно рекомендує вжити негайних заходів для застосування виправлень для будь-яких локальних розгортань Exchange, які ви маєте або керуєте для клієнта, або повідомте клієнта про кроки, які їм потрібно вжити. Першим пріоритетом є сервери, доступні з Інтернету (наприклад, сервери, що публікують Outlook в Інтернеті / OWA та ECP).
Щоб виправити ці вразливості, слід перейти до останніх сукупних оновлень Exchange, а потім інсталювати відповідні оновлення системи безпеки на кожному сервері Exchange Server.
- Можна скористатися скриптом перевірки справності сервера Exchange, який можна завантажити з GitHub (використовувати останню версію).
- Якщо за допомогою цього сценарію ви відстаєте від оновлень локального сервера Exchange Server (зверніть увагу, що сценарій не підтримує сервер Exchange Server 2010).
- Ми також рекомендуємо вашій команді безпеки оцінити, чи використовувалися вразливості за допомогою індикаторів компромісу.
Китайська урядова група APT Hafnium використовує підключені до Інтернету сервери жертви як точку входу до своїх внутрішніх мереж. Hafnium відомий своїми атаками на цілі в США, особливо на дослідників інфекційних захворювань, юридичні фірми, вищі навчальні заклади, оборонних підрядників та неурядові організації.
Під час нової хвилі атак цього року група використала чотири раніше невідомі вразливості в Microsoft Exchange. За даними Microsoft і компанії з інформаційної безпеки Volexity , зловмисники використовували ці вразливості в рамках складної, багатосерійної атаки для обходу механізмів аутентифікації, отримання прав адміністратора і установки ASPX на скомпрометовані сервери.
Отримавши доступ до поштового сервера атакованої організації, хакери експортували вміст електронних поштових скриньок і адресних книг на віддалений сервер. Фахівці компанії з інформаційної безпеки Volexity виявили вивантаження даних з поштових серверів двох її клієнтів. В ході подальшого розслідування вони розкрили роботу гафнієвого шкідливого програмного забезпечення і повідомили про це Microsoft. У свою чергу, Microsoft виявила чотири раніше невідомі вразливості в своєму продукті і випустила екстрені патчі.
Проблеми стосуються лише поштових серверів Exchange, інстальованих у локальному середовищі, а не служби Exchange Online.
Ні Microsoft, ні Volexity не розкрили жертв нової операції шкідливого програмного забезпечення Hafnium, однак, за словами віце-президента Microsoft з питань довіри та безпеки споживачів, вони «поінформували відповідні урядові установи США про цю діяльність».
