Microsoft выпустила экстренные обновления безопасности для почтового сервера Microsoft Exchange
Microsoft выпустила экстренные обновления безопасности для почтового сервера Microsoft Exchange
Microsoft выпустила экстренные обновления безопасности для почтового сервера Microsoft Exchange, исправляющие четыре уязвимости нулевого дня, которыми уже активно пользуются китайские хакеры.
The vulnerabilities exist in on-premises Exchange Servers 2010, 2013, 2016, and 2019. Exchange Online is not affected. We wanted to ensure you were aware of the situation and would ask that you help drive immediate remediation steps.
Specifically, to minimize or avoid impacts of this situation, Microsoft highly recommends that you take immediate action to apply the patches for any on-premises Exchange deployments you have or are managing for a customer or advise your customer of the steps they need to take. The first priority being servers which are accessible from the Internet (e.g., servers publishing Outlook on the web/OWA and ECP).
To patch these vulnerabilities, you should move to the latest Exchange Cumulative Updates and then install the relevant security updates on each Exchange Server.
- You can use the Exchange Server Health Checker script, which can be downloaded from GitHub (use the latest release).
- Running this script will tell you if you are behind on your on-premises Exchange Server updates (note that the script does not support Exchange Server 2010).
- We also recommend that your security team assess whether or not the vulnerabilities were being exploited by using the Indicators of Compromise.
Работающая на китайское правительство APT-группировка Hafnium использует подключенные к интернету серверы жертвы в качестве точки входа в ее внутренние сети. Hafnium известна своими атаками на цели в США, в частности на исследователей в области инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонных подрядчиков и неправительственные организации.
В новой волне атак в нынешнем году группировка эксплуатировала четыре ранее неизвестные уязвимости в Microsoft Exchange. Как сообщают специалисты Microsoft и ИБ-компании Volexity , злоумышленники эксплуатировали эти уязвимости в рамках сложной, состоящей из нескольких частей атаки для обхода механизмов аутентификации, получения привилегий администратора и установки на скомпрометированных серверах web-оболочки ASPX.
Получив доступ к почтовому серверу атакуемой организации, хакеры экспортировали содержимое электронных почтовых ящиков и адресных книг на удаленный сервер. Специалисты ИБ-компании Volexity обнаружили выгрузку данных с почтовых серверов двух ее клиентов. В ходе последующего расследования они раскрыли вредоносную операцию Hafnium и уведомили о ней Microsoft. В свою очередь, Microsoft обнаружила в своем продукте четыре ранее неизвестные уязвимости и выпустила экстренные патчи.
Проблемы затрагивают только почтовые серверы Exchange, установленные в локальной среде, но не Exchange Online.
Ни Microsoft, ни Volexity не раскрывают жертв новой вредоносной операции Hafnium, однако, как сообщил вице-президент Microsoft по доверию и безопасности потребителей они «проинформировали соответствующие правительственные учреждения США об этой деятельности».
