CISA oferă administratorilor IT îndrumări pentru remedierea noilor vulnerabilități ale Serverului Microsoft Exchange

Agenția de securitate cibernetică și infrastructură de securitate (CISA) a emis o directivă de urgență și o alertă care abordează vulnerabilitățile severe critice descoperite recent la produsele Microsoft Exchange.

Microsoft a confirmat existența mai multor erori ale serverului Microsoft Exchange săptămânile trecute, când a lansat mai multe actualizări de securitate ca urmare a unor raportări privind o serie de atacuri targetate.

„Din cauza naturii critice a acestor vulnerabilități, le recomandăm clienților să instaleze imediat actualizările pe sistemele afectate pentru a le proteja împotriva acestor exploit-uri și pentru a preveni viitoarele abuzuri la nivelul ecosistemului”, a declarat Microsoft la momentul respectiv.

Exploatarea acestor vulnerabilități poate permite infractorilor să acceseze serverele Exchange on-premises și să obțină drepturi de acces persistent și controlul asupra rețelei unei companii.

CISA recomandă organizațiilor să-și examineze sistemele pentru a identifica orice activitate periculoasă, după cum este detaliat în Alerta AA21-062A. Pentru a face acest lucru, administratorii IT pot consulta lista utilă de tactici, tehnici și proceduri (TTP-uri) și indicatorii de compromitere (IOC-uri) asociate cu această activitate periculoasă, care sunt furnizate în alertă.

Chiar Microsoft a lansat un instrument de detecție IOC pentru ultimele vulnerabilități ale serverului Exchange. Instrumentul utilizează un script actualizat care scanează fișierele jurnal Exchange pentru a identifica indicatorii de compromis asociați cu vulnerabilitățile descoperite săptămâna trecută.

Printre produsele afectate se numără Serverul Microsoft Exchange 2013, Serverul Microsoft Exchange 2016 și Serverul Microsoft Exchange 2019.

După cum a menționat chiar Microsoft, vulnerabilitățile în cauză sunt utilizate ca parte a unui lanț de atac, ceea ce înseamnă că unele remedieri oferă protecție doar împotriva anumitor vectori de atac.

„Alte porțiuni ale lanțului pot fi declanșate dacă un atacator are deja drepturi de acces sau poate convinge un administrator să execute un fișier periculos”, a avertizat Microsoft săptămâna trecută.

În acest scop, CISA reiterează faptul că administratorii IT trebuie să își examineze în detaliu sistemele pentru a identifica TTP-urile și să utilizeze IOC-urile pentru a detecta orice activitate periculoasă.

„Dacă o organizație descoperă o activitate de exploatare, ar trebui să presupună că identitatea rețelei sale a fost compromisă și să urmeze procedurile de răspuns la incidente. Dacă o organizație nu descoperă nicio astfel de activitate, ar trebui să instaleze imediat patch-urile disponibile și să implementeze remedierile din această Alertă”, spune CISA.