Атака на серверы Exchange: срочно обновите их

Атака на серверы Exchange: срочно обновите их
Кибер-инциденты, вызванные уязвимостями в системе безопасности, всегда были и остаются серьезной проблемой информационной безопасности . К числу известных кибер-атак, которые использовали уязвимости, среди прочих следует отнести WannaCry , нарушение данных в Equifax и Stuxnet .

Принято считать, что уязвимость нулевого дня представляет собой самую большую угрозу, поскольку жертвы не знают об опасности, однако это далеко не так. Более 90% успешных атак можно было бы избежать, если бы своевременно применялись соответствующие патчи и обновления .

Волна атак на серверы Exchange
На прошлой неделе корпорация Microsoft предупредила о заметном росте количества попыток компрометации серверов Exchange. Хотя многие такие атаки используют фишинг и методы социальной инженерии в своих попытках скомпрометировать серверы, злоумышленники также используют уязвимость удаленного выполнения кода, влияющую на базовый компонент Internet Information Service (IIS) сервера Exchange, против которого нацелена атака.

В частности, они используют уязвимость CVE-2020-0688 , для которой в феврале этого года был выпущен патч. Следствием этого недостатка безопасности является то, что все серверы Exchange последнего десятилетия используют одинаковые криптографические ключи для бэкэнда панели управления. Это, в свою очередь, означает, что хакер может установить вредоносное ПО и взять под контроль сервер, получив доступ к электронной почте жертвы.

Зачем применять патчи?
Когда Microsoft объявила об этой уязвимости в феврале, многие организации не обратили на это особого внимания и оставили свои серверы Exchange незащищенными, несмотря на предупреждения о всплеске атак в ближайшем будущем. В апреле аналитики по безопасности отметили, что в Интернете по-прежнему находится более 350 000 уязвимых серверов Exchange.
Часто после того, как злоумышленник внедрился в сервер Exchange через дыру  безопасности, следующим его шагом является внедрение веб-консоли на одном из путей сервера, доступных из Интернета.

Эти инструменты используются хакерами на скомпрометированных серверах для обеспечения доступа и выполнения удаленных команд и произвольного кода, что позволяет им «доставить» вредоносную «полезную нагрузку» и осуществлять горизонтальные перемещения по сетям.

Техники «живучести»
После внедрения злоумышленники используют веб-консоль для изучения домена, и если они сталкиваются с плохо настроенным сервером, они добавляют в группы новые учетные записи с высокими привилегиями, такие как администраторы, пользователи удаленных рабочих столов и администраторы предприятия.

Это позволяет им иметь неограниченный доступ к любому пользователю или группе в организации. Затем злоумышленники используют средства Windows для поиска учетных данных учетной записи пользователя, чтобы сделать дамп памяти сервиса проверки подлинности локальной системы безопасности (LSASS).

Для того чтобы получить присутствие в памяти без необходимости доступа к жесткому диску, злоумышленники используют программное обеспечение с открытым исходным кодом, такое как Mimikatz , а в тех случаях, когда системы настроены для обнаружения этой утилиты, они используют модифицированную версию внутри оболочки, написанной на языке программирования Go.

Злоумышленники также пытаются отключить антивирусную защиту и функции сканирования файлов. Это делается для того, чтобы защитить .zip-файлы и другие инструменты сжатия файлов, такие как rar.exe, которые используются для сокрытия украденных .pst-файлов и дампов памяти.

Защитите ваши серверы Exchange
Атака на сервер Exchange может позволить противникам получить доступ ко всем видам ценной корпоративной информации. Именно по этой причине так важно защищать такие серверы.

В этом случае очень важно как можно скорее применить соответствующий патч . Он предотвратит проникновение злоумышленников в ваши системы и защитит от угрозы корпоративной безопасности. Тем не менее, для многих организаций управление уязвимостями безопасности является серьезной проблемой, и они часто не знают о наиболее критических уязвимостях.

Для этого компания Panda Security создала специальный портал для выявления наиболее критических уязвимостей . « Top Vulnerabilities 2020» - это список наиболее важных уязвимостей безопасности, обнаруженных в 2020 году и влияющих на компьютеры с операционной системой Windows, с подробными сведениями о серьезности уязвимости, вендоре и CVE.

Как видите, уязвимости - это постоянная угроза для любого вида предприятий. Не допускайте того, чтобы незащищенные дыры в системе безопасности ставили под угрозу безопасность вашей организации.
Оригинал статьи:   Exchange servers are under attack: patch them without delay

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
расширенная информационная безопасность B2B патч уязвимость
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.