Отчет: 92% серверов Microsoft Exchange теперь защищены от ProxyLogon
Microsoft сообщает, что около 92 процентов всех серверов Microsoft Exchange теперь обновлены и защищены от уязвимости ProxyLogon, которая преследовала службу – а также группы по исследованию безопасности и реагированию – в течение нескольких недель.
Число неустановленных серверов Microsoft Exchange Server составляет около 30 000, по сравнению с максимальным значением, составляющим около 400 000.
Огромное сокращение уязвимых серверов Microsoft Exchange
Точное общее количество уязвимых серверов Microsoft Exchange не известно.
Однако 2 марта, когда Microsoft выпустила свой первый набор исправлений безопасности, около 400 000 серверов Exchange были уязвимы для уязвимости ProxyLogon. Через неделю после запуска и внедрения исправлений безопасности, 9 марта, эта цифра упала примерно до 100 000 серверов, на которых не были установлены исправления.
В последнем отчете Microsoft указано, что осталось менее 30 000 уязвимых серверов Exchange.
Наша работа продолжается, но мы видим сильный импульс для локальных обновлений Exchange Server:
• 92% IP-адресов Exchange во всем мире исправлены или устранены.
• Улучшение на 43% во всем мире за последнюю неделю. pic.twitter.com/YhgpnMdlOX– Ответ службы безопасности (@msftsecresponse) 22 марта 2021 г.
После этого твита, вероятно, их число еще больше уменьшилось.
Microsoft предприняла существенные шаги для защиты уязвимых серверов Microsoft Exchange Server перед лицом длительной уязвимости ProxyLogon. Например, Exchange On-Premises Mitigation Tool (EOMT) – это инструмент для установки исправлений ProxyLogon одним щелчком мыши, который упрощает для клиентов Microsoft Exchange Server быструю защиту своей инфраструктуры.
Microsoft также добавила инструмент автоматического исправления Microsoft Defender. Согласно сообщению в официальном блоге Microsoft Security , клиенты, использующие антивирус Microsoft Defender и System Center Endpoint Protection, « автоматически уменьшат риск CVE-2021-26855 на любом уязвимом сервере Exchange, на котором он развернут».
Это конец ProxyLogon?
ProxyLogon был серьезной проблемой для клиентов Microsoft Exchange Server. Атака затронула десятки тысяч серверов, охватывая предприятия всех форм и размеров.
Уязвимость ProxyLogon объединила четыре эксплойта нулевого дня для атаки на серверы Microsoft Exchange. После обнаружения уязвимости несколько отраслей по всему миру сообщили о всплеске атак: клиенты Microsoft Exchange Server сообщают о вредоносных программах для майнинга криптовалют, различных типах программ-вымогателей, веб-оболочках и многом другом, которые развертываются злоумышленниками.
В сообщении в блоге ESET Research было обнаружено, что серверы Microsoft Exchange подвергались атаке со стороны «как минимум 10 групп APT [Advanced Persistent Threat]», которые все стремились извлечь выгоду из этой уязвимости.
Мы заметили, что уязвимости использовались другими злоумышленниками, начиная с Tick, а к ним быстро присоединились LuckyMouse, Calypso и Winnti Group. Это говорит о том, что несколько злоумышленников получили доступ к деталям уязвимостей до выпуска исправления, что означает, что мы можем исключить возможность того, что они создали эксплойт путем обратного проектирования обновлений Microsoft.
Уязвимость ProxyLogon еще не закончилась. По-прежнему существует более 20 000 уязвимых серверов Microsoft Exchange Server, но клиенты и охранные фирмы будут надеяться, что конец близок.