СНБО предупреждает о киберугрозах из-за уязвимости в Microsoft Exchange
Нaциoнaльный кooрдинaциoнный цeнтр при СНБO Украины предупредил об активной эксплуатации уязвимостей в распространенном программном продукте Microsoft Exchange. Об этом сообщает пресс-служба СНБО.
“В случае успешной эксплуатации уязвимостей атакующие имеют возможность выполнить произвольный код в уязвимых системах и получить полный доступ к скомпрометированному серверу, включая доступ к файлам, электронной почты, учетных записей и др. Кроме того, успешная эксплуатация уязвимостей позволяет получить несанкционированный доступ к ресурсам внутренней сети организации”, — пояснили в СНБО.
В частности, уязвимыми являются локальные версии Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019.
Информация об уязвимостях в облачных версиях Microsoft 365, Exchange Online, Azure Cloud отсутствует.
“Сейчас активно эксплуатируются уязвимости CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (общее название — ProxyLogon), для уязвимостей CVE-2021-26412, CVE-2021-26854, CVE -2021-27078 отсутствуют публично доступные эксплойты.
Наибольшую активность в эксплуатации уязвимых систем выявила китайское кибершпионская группировка Hafnium, но сейчас уже подтверждено активность других хакерских групп, среди которых Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic, Winnti Group (BARIUM, APT41), Tonto Team (CactusPete), ShadowPad, Mikroceen, DLTMiner”, — добавили в ведомстве.
Отмечается, что уязвимость эксплуатируется не только группами, за которыми стоят спецслужбы, но и киберпреступниками.
“Подтверждено факты инфицирования уязвимых систем программами-вымогателями, в частности, новых семейств DearCry, DoejoCrypt. Сумма выкупа, которую требовали преступники в одном из подтвержденных случаев, составила более 16 тысяч долларов.
Скомпрометированные серверы также используются для рассылок вредоносных программ для дальнейшего инфицирования максимального количества организаций. В Украине уже зафиксировано несколько таких инцидентов”, — заявили в СНБО.
Также сообщается, что компания Microsoft выпустила пакеты обновлений для уязвимых версий и программные инструменты, предназначенные для самостоятельной проверки наличия уязвимости (https://github.com/microsoft/CSS-Exchange/tree/main/Security).
“По результатам анализа установок обновлений и сообщенияй партнеров, процедура обновления не всегда автоматически позволяет обеспечить защиту от уязвимостей для всех минорных версий Microsoft Exchange Server. Так, по сообщению парламента Норвегии, их информационные системы были взломаны и украдены данные, хотя обновления установлены”, — говорится в сообщении.
“Поэтому во время установки пакетов обновлений необходимо учесть следующее. Обновления необходимо применить из командной строки от имени пользователя с правами администратора, после установки необходимо перезагрузить сервер.
После завершения процесса обновления необходимо провести повторную проверку возможности эксплуатации уязвимости (инструменты — утилита MSERT https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download или скрипт nmap https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse)”, — пояснили в ведомстве.
НКЦК рекомендует рассматривать системы уязвимых версий Microsoft Exchange Server и сети, в которых они используются, как скомпрометированные, и задействовать процедуры реагирования на инцидент.
По состоянию на 12 марта 2021 года в Украине было выявлено более 1000 уязвимых серверов Microsoft Exchange Server, из них 98,7% используются в частном секторе.
Географическое распределение уязвимых серверов приведено на рисунке.