Mega-atacul asupra Serverului Microsoft Exchange – ce trebuie să știți

Ce se întâmplă?
În cazul în care nu sunteți la curent cu știrile – se consideră că, la nivel global, sute de mii de sisteme aferente Serverului Microsoft Exchange au fost compromise de atacatori, care au exploatat vulnerabilitățile de tip „zero-day” pentru a fura conturi de e-mail.

Printre victime s-a numărat și Autoritatea Bancară Europeană.

Inițial, părea că atacurile vizează doar organizațiile, însă acum și-au extins activitatea și la alte victime și au avansat considerabil.

Drept urmare, există o mare posibilitate ca numeroase victime din rândul întreprinderilor mici, corporațiilor și guvernelor să nu fie conștiente în prezent de faptul că au fost victimele ale atacului.

Ce este o vulnerabilitate de tip „zero-day”?
„Zero-day” face referire la faptul că persoanele responsabile cu instalarea de patch-uri pentru remedierea vulnerabilității au avut zero zile la dispoziție pentru a face acest lucru, înainte ca vulnerabilitatea să fie expusă și exploatată de hackeri.

Pe scurt, nu s-a lansat niciun patch de securitate oficial și este posibil ca hackerii să fi profitat deja de pe urma vulnerabilității.

Compania mea utilizează Microsoft Exchange, este în pericol? Cum instalăm patch-urile de securitate?
Prima întrebare pe care trebuie să v-o puneți este: care este tipul de produs Microsoft Exchange folosit de compania dumneavoastră?

Vulnerabilitățile sunt prezente pe edițiile on-premises ale Serverului Microsoft Exchange. Nu sunt însă prezente la serviciile de e-mail bazate în cloud Exchange Online sau Microsoft 365 (denumit anterior O365).

Cine se află în spatele atacurilor?
Într-un articol postat pe blog, compania Microsoft a afirmat că se crede că „Hafnium”, o grupare chineză de hackeri finanțată de guvern, se află în spatele atacurilor.

China a negat faptul că ar fi implicată.

Cu toate acestea, lansarea patch-urilor de securitate și tardivitatea anumitor organizații de a se proteja a încurajat inevitabil alți hackeri să vizeze sistemele vulnerabile.

Agenția americană de securitate cibernetică și infrastructură de securitate (CISA) spune că are „cunoștință de faptul că infractorii utilizează instrumente open source pentru a căuta Servere Microsoft Exchange vulnerabile.”

Are acest atac legătură cu atacul SolarWinds despre care lumea a început să vorbească în urmă cu câteva săptămâni? Acest atac a fost pus în mare parte pe seama Rusiei.
Microsoft a declarat că „nu există dovezi care să indice faptul că atacatorul din spatele atacului SolarWinds a descoperit sau a exploatat vreo vulnerabilitate a produselor sau serviciilor Microsoft.”

Așadar, cum pot remedia această problemă în cazul companiei mele?

Microsoft a lansat săptămâna trecută patch-uri de securitate pentru vulnerabilitățile critice ale Serverului Microsoft Exchange și recomandă organizațiilor vulnerabile să le instaleze de urgență.

Dacă organizația dumneavoastră nu are posibilitatea de a instala imediat patch-urile de securitate, ar trebui să vă informați cu privire la remedierile alternative recomandate de Microsoft și să limitați sau să blocați accesul extern la serverele Exchange conectate la internet.

Totuși, cea mai bună recomandare este să instalați patch-urile cât mai curând posibil. Celelalte remedieri sunt doar temporare.

Ar trebui să mai facem și altceva?
Da. În mod evident, este bine dacă ați instalat patch-urile de securitate pe sistemele dumneavoastră, însă acest lucru nu va remedia daunele care este posibil să se fi produs dacă sistemele dumneavoastră au fost deja compromise.

De asemenea, ar trebui să încercați să descoperiți dacă organizația dumneavoastră a fost deja compromisă și dacă hackerii au preluat controlul.

Microsoft a lansat un instrument care scanează fișierele jurnal Exchange pentru indicatorii de compromitere (IOC-uri) asociați vulnerabilităților.

Există alte informații pe care le pot afla?
Vă recomand insistent să consultați ghidul consultativ de securitate al Microsoft și articolul de blog.