Уязвимости в Exchange: хронология событий и рекомендации по защите серверов

Уязвимости в Exchange: хронология событий и рекомендации по защите серверов
839621d893620a23b6ed3040d7f15e0f.jpg

Как писали эксперты из  Angara Professional Assistance, критические уязвимости нулевого дня в Microsoft Exchange спровоцировали волну атак. Уже в начале марта несколько десятков организаций только из России жаловались на попытки их эксплуатации на серверах Microsoft Exchange.
Данная уязвимость хорошо демонстрирует типовой цикл жизни уязвимости нулевого дня и атак, их задействующих. Пока большинство организаций планирует процесс установки программных коррекций, хакерские группировки уже активно атакуют уязвимые сервисы. А часть атак началась еще до публичного сообщения об уязвимостях.
Даже компании с максимально оперативно реализованным процессом установки обновлений могли успеть серьезно пострадать в результате атак.
Хронология развития событий:
  • В январе 2021 г. компании Microsoft поступила информация о 2 уязвимостях нулевого дня в серверах Exchange. А дальнейшее исследование выявило еще 5 критических уязвимостей данной группы, названной в дальнейшем ProxyLogon.
  • 2 марта компания Microsoft публикует данные об уязвимостях нулевого дня CVE-2021-26855 (ProxyLogon), CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, затрагивающих все действующие версии сервера Exchange Server 2013, 2016, 2019, Exchange Server 2010 (кроме Exchange Online). А также описание хакерской группировки, начавшей кампанию по атакам на почтовые сервера с использованием этих уязвимостей. Цели атак в основном детектированы в США, но в России уже на 3 марта зафиксировано около 40 подобных атак.
  • Сообщения об уязвимостях сопровождаются информацией о группировке HAFNIUM, которая ее активно эксплуатирует в своих атаках.
  • Практически сразу компанией Microsoft выпущены патчи для устранения данных уязвимостей.
  • Параллельно обнаружено еще 3 уязвимости CVE-2021-26412 , CVE-2021-26854 , CVE-2021-27078 , но атак с их использованием пока не наблюдалось.
  • 5 марта для тех, кто не может применить обновления серверов Exchange в оперативном порядке, компания Microsoft выпустила инструкции по снижению рисков за счет отключения уязвимых функций на основании тех цепочек атак, которые уже были обнаружены.
  • 7 марта «Лаборатория Касперского» подтвердила наличие волны атак на российские компании с использованием данных уязвимостей.
  • 10 марта на GitHub появился рабочий PoC-эксплоит для уязвимости ProxyLogon (часть с SSRF), который еще больше расширит волну атак за счет простоты использования.
  • 9–10 марта появились сообщения, что в атаки ProxyLogon присоединился шифровальщик DEARCRY.
  • 11 марта различные ИБ-исследователи подтверждают как значительное расширение географии атак (США, Россия, Германия, Англия, Нидерланды и другие страны Европы), так и внушительный рост их количества. Атакуются предприятия всех секторов экономики.
  • 15 марта компания выпустила утилиту Exchange On-Premises Mitigation Tool для тех, кто не имеет в штате ИТ-специалистов, которая: просканирует серверы Exchange на наличие вредоносного влияния, применит временные исправления для снижения рисков атак. При этом установка патчей остается рекомендуемой операцией, которую необходимо сделать для полного устранения риска.
  • 16 марта Microsoft выпускает рекомендации по обнаружению и расследованию атак с использованием данных уязвимостей. А 18 марта – аналогичную автоматическую утилиту.
Рекомендации экспертов группы компаний Angara
Первой и основной рекомендацией является оперативная установка программных коррекций. Но данная процедура не всегда доступна по мгновенному запросу, тем более иногда атаки начинаются еще до выхода соответствующего патча на опубликованную уязвимость. Кроме применения workaround инструкций производителя по снижению конкретных рисков, определенные действия и наложенные средства защиты могут системно снизить уязвимость публичных серверов компании в сети Интернет.
Эксперты группы компаний Angara рекомендуют рассмотреть возможность применения следующих практик повышения ИБ, в частности для серверов Exchange:
  1. Максимально строго ограничить внешний сетевой доступ к публичным серверам. В частности, если вы не используете OWA на постоянной основе, доступность данного сервиса из внешних сетей лучше заблокировать.
  2. Выстроить внутреннюю сегментацию для ограничения распространения заражения в случае успешного проникновения вымогательского ПО в периметр.
  3. Анализировать открытый web-трафик, в том числе OWA сервера средствами WAF. Это позволит отсечь попытки SSRF атак.
  4. Использовать средства EDR на всех ПК Windows для анализа действий ПО. Таким образом блокируются или сигнализируются подозрительные действия ПО непосредственно в системе, независимо от наличия известных сигнатур для конкретного вредоносного ПО, и пресекается горизонтальное размножение шифровальщиков в инфраструктуре.
  5. Использовать и корректно обновлять антивирусную защиту на всех серверах и АРМ в организации, включая серверы Exchange. Это позволит для появившихся сигнатур вредоносного ПО оперативно получать паттерны защиты и сократить время уязвимости серверов.
Для серверов Exchange эксперты рекомендуют следующие средства антивирусной защиты:
  • Kaspersky Endpoint Security,
  • McAfee Endpoint Security,
  • Trend Micro Deep Security.
По вопросам применения защиты на серверах Exchange до установки программных коррекций для описанных уязвимостей, а также выстраивания эшелонированной защиты инфраструктуры и серверов Microsoft обращайтесь к менеджерам группы компаний Angara по e-mail info@angaratech.ru  и телефону 8-495-269-26-06.
Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group