Служба национальной безопасности объявила атаку Microsoft Exchange “чрезвычайной”
Служба национальной безопасности объявила продолжающуюся атаку на Microsoft Exchange как чрезвычайную ситуацию. Атаки, начавшиеся ранее на этой неделе, нацелены на серверы Microsoft Exchange Server, объединяя несколько эксплойтов нулевого дня для доступа к защищенным учетным записям электронной почты.
Национальная безопасность: нападение – «недопустимый риск»
3 марта Национальная безопасность издала Директиву о чрезвычайных ситуациях 21-02, в которой содержится некоторая справочная информация об атаке Microsoft Exchange.
Партнеры CISA наблюдали активное использование уязвимостей в локальных продуктах Microsoft Exchange. Ни уязвимости, ни выявленные эксплойты в настоящее время не влияют на развертывание Microsoft 365 или Azure Cloud. Успешная эксплуатация этих уязвимостей позволяет злоумышленнику получить доступ к локальным серверам Exchange Server, что позволяет им получить постоянный доступ к системе и контроль над корпоративной сетью.
Затем в директиве объясняется, что нападение такого рода «представляет неприемлемый риск для федеральных органов исполнительной власти и требует принятия срочных мер».
Служба национальной безопасности установила крайний срок – 12 часов вечера по восточному стандартному времени в пятницу, 5 марта, для федеральных агентств, которые должны соблюдать протоколы анализа и смягчения последствий, изложенные в директиве.
В настоящее время каждое агентство должно идентифицировать свои серверы Microsoft Exchange Server, выполнить криминалистическую сортировку своей системной памяти, журналов и кустов реестра, а затем проанализировать результаты на предмет любых индикаторов кражи учетных данных или других компрометаций.
Кто атакует серверы Microsoft Exchange?
Microsoft указала цифру прямо на китайскую хакерскую группу национального государства, известную как HAFNIUM. Обычно компаниям требуется немного больше времени, чтобы назвать подозреваемого, но Microsoft почти не сомневается, что за атакой стоит «высококвалифицированный и искушенный субъект».
Центр Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности приписывает эту кампанию HAFNIUM, группе, которая, согласно оценке виктимологии, тактике и процедурам, спонсируется государством и действует за пределами Китая.
Частично это связано с тем, что атака Microsoft Exchange объединяет четыре ранее неизвестные уязвимости. Вы можете прочитать подробности в официальном блоге Microsoft Security .
Microsoft также отмечает, что она наблюдала, как HAFNIUM взаимодействует с ее пакетом Microsoft Office 365, исследуя уязвимости. Он также подтвердил, что эта атака не имеет никакого отношения к SolarWinds, огромной кибератаке, затронувшей несколько правительственных агентств США, а также несколько ведущих технологических компаний.
Хорошая новость заключается в том, что, хотя эти атаки продолжаются и представляют серьезную угрозу для серверов Microsoft Exchange Server, группа безопасности Microsoft уже выпустила серию исправлений для устранения уязвимостей.
Вы можете найти более подробную информацию об исправлениях Microsoft Exchange Server на сайте Microsoft Tech Community , в том числе о том, как загружать и устанавливать обновления, а также о том, как сканировать ваши серверы Exchange на наличие признаков взлома.