Рада нацбезпеки попереджає про кіберзагрози через вразливість Microsoft Exchange
Національний координаційний центр кібербезпеки при Раді національної безпеки і оборони України попереджає про активну експлуатацію вразливостей у поширеному програмному продукті Microsoft Exchange.
Про це повідомляє пресслужба РНБО.
«У разі успішної експлуатації вразливостей атакувальники мають можливість виконати довільний код у вразливих системах та отримати повний доступ до скомпрометованого сервера, включно із доступом до файлів, електронної пошти, облікових записів тощо», — зазначили в РНБО.
Вразливими назвали локальні версії Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019. Водночас немає інформації про можливі вразливості у хмарних версіях Microsoft 365, Exchange Online, Azure Cloud.
Найбільшу активність в експлуатації вразливих систем виявило китайське кібершпигунське угруповання Hafnium. Проте вже підтверджена активність й інших хакерських груп, з-поміж яких Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic.
Навіщо це хакерам?
В РНБО пишуть, що вже підтверджені факти інфікування вразливих систем програмами-вимагачами, зокрема нових сімейств DearCry, DoejoCrypt. Сума викупу, яку вимагали злочинці в одному з підтверджених випадків, становила понад 16 тисяч доларів.
Скомпрометовані сервери також використовують для розсилань шкідливого програмного забезпечення для подальшого інфікування максимальної кількості організацій. В Україні вже зафіксували кілька таких інцидентів.
Як себе захистити?
Microsoft випустила пакети оновлень для вразливих версій та програмні інструменти, призначені, щоб самостійно перевірити, чи є вразливість. Водночас процедура оновлення не завжди автоматично захищає від вразливостей для всіх версій Microsoft Exchange Server. Так, за повідомленням парламенту Норвегії, їхні інформаційні системи зламали, викравши дані, хоча оновлення були встановлені.
Установлюючи пакети оновлень, необхідно врахувати таке:
- оновлення необхідно застосувати з командного рядка від імені користувача з правами адміністратора, після встановлення необхідно перезавантажити сервер;
- після завершення процесу оновлень необхідно повторно перевірити можливості експлуатації вразливості (інструменти — утиліта MSERT або скрипт nmap).
Станом на 12 березня 2021 року в Україні виявили понад тисячу вразливих серверів Microsoft Exchange Server, з них 98,7% використовуються у приватному секторі.
«НКЦК закликає одразу повідомляти про факти компрометації або спроби експлуатації вразливостей за адресою report@ncscc.gov.ua для скоординованого реагування. Фахівці НКЦК готові надати технічну та консультативну допомогу під час реагування, зокрема, організаціям приватного сектора», — додали в РНБО.