Совет нацбезопасности предупреждает о киберугрозах из-за уязвимости Microsoft Exchange
Национальный координационный центр кибербезопасности при Совете национальной безопасности и обороны Украины предупреждает об активной эксплуатации уязвимостей в распространенном программном продукте Microsoft Exchange.
Об этом сообщает пресс-служба СНБО.
«В случае успешной эксплуатации уязвимостей атакующие имеют возможность выполнить произвольный код в уязвимых системах и получить полный доступ к скомпрометированному серверу, включая доступ к файлам, электронной почте, учетным записям и т. д.», — отметили в СНБО.
Уязвимыми назвали локальные версии Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019. В то же время нет информации о возможных уязвимостях в облачных версиях Microsoft 365, Exchange Online, Azure Cloud.
Наибольшую активность в эксплуатации уязвимых систем выявило китайская кибершпионская группа Hafnium. Однако уже подтверждена активность и других хакерских групп, среди которых Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic.
Зачем это хакерам?
В СНБО пишут, что уже подтверждены факты инфицирования уязвимых систем программами-вымогателями, в частности, от новых семейств DearCry, DoejoCrypt. Сумма выкупа, которую требовали преступники в одном из подтвержденных случаев, составила более 16 тысяч долларов.
Скомпрометированные серверы также используют для рассылок вредоносных программ для дальнейшего инфицирования максимального количества организаций. В Украине уже зафиксировали несколько таких инцидентов.
Как себя защитить?
Microsoft выпустила пакеты обновлений для уязвимых версий и программные инструменты, предназначенные для самостоятельной проверки наличия уязвимости. В то же время процедура обновления не всегда автоматически защищает от уязвимостей для всех версий Microsoft Exchange Server. Так, по сообщению парламента Норвегии, их информационные системы взломали, похитив данные, хотя обновления были установлены.
Во время установки пакетов обновлений необходимо учесть следующее:
- обновления необходимо применить из командной строки от имени пользователя с правами администратора, после установки необходимо перезагрузить сервер;
- после завершения процесса обновления необходимо повторно проверить возможности эксплуатации уязвимости (инструменты — утилита MSERT или скрипт nmap).
По состоянию на 12 марта 2021 года в Украине обнаружили более тысячи уязвимых серверов Microsoft Exchange Server, из них 98,7% используются в частном секторе.
«НКЦК призывает сразу сообщать о фактах компрометации или попытки эксплуатации уязвимостей по адресу report@ncscc.gov.ua для скоординированного реагирования. Специалисты НКЦК готовы оказать техническую и консультативную помощь при реагировании, в частности, организациям частного сектора», — добавили в СНБО.