Departament Bezpieczeństwa Wewnętrznego ogłasza „stan awaryjny” ataku Microsoft Exchange

Homeland Security ogłosił ciągły atak na Microsoft Exchange jako stan wyjątkowy. Ataki, które rozpoczęły się na początku tego tygodnia, wymierzone są w serwery Microsoft Exchange, łącząc kilka exploitów typu zero-day w celu uzyskania dostępu do bezpiecznych kont e-mail.

Bezpieczeństwo wewnętrzne: atak jest „niedopuszczalnym ryzykiem”

Wydano Homeland Security Dyrektywa awaryjna 21-02 późno 3 marca, dostarczając podstawowe informacje na temat ataku na Microsoft Exchange.

Partnerzy CISA zaobserwowali aktywne wykorzystywanie luk w lokalnych produktach Microsoft Exchange. Obecnie nie wiadomo, czy luki w zabezpieczeniach ani zidentyfikowana aktywność wykorzystująca luki w zabezpieczeniach nie wpływają na wdrożenia platformy Microsoft 365 lub Azure Cloud. Pomyślne wykorzystanie tych luk umożliwia atakującemu uzyskanie dostępu do lokalnych serwerów Exchange, umożliwiając im stały dostęp do systemu i kontrolę nad siecią przedsiębiorstwa.

Dyrektywa wyjaśnia następnie, że atak tego rodzaju „stanowi niedopuszczalne ryzyko dla agencji Federalnego Cywilnego Wydziału Wykonawczego i wymaga działań nadzwyczajnych”.

Departament Bezpieczeństwa Wewnętrznego wyznaczył na piątek 5 marca o godzinie 12:00 czasu wschodniego termin, w którym agencje federalne muszą zastosować się do protokołów analizy i łagodzenia skutków określonych w dyrektywie.

Obecnie każda agencja musi zidentyfikować swoje serwery Microsoft Exchange, przeprowadzić analizę kryminalistyczną swojego systemu pamięci, dzienników i gałęzi rejestru, a następnie przeanalizuj wyniki pod kątem wszelkich wskaźników kradzieży poświadczeń lub innych kompromisy.

Związane z: Najlepsze bezpłatne alternatywy dla programu Microsoft Outlook

Kto atakuje serwery Microsoft Exchange?

Microsoft zwrócił uwagę na grupę hakerską chińskiego państwa znaną jako HAFNIUM. Zwykle firmy potrzebują trochę więcej czasu, zanim zdecydują się wskazać podejrzanego, ale Microsoft nie ma wątpliwości, że za atakiem stoi „wysoce wykwalifikowany i wyrafinowany aktor”.

Microsoft Threat Intelligence Center (MSTIC) przypisuje tę kampanię z dużą pewnością grupie HAFNIUM został oceniony jako sponsorowany przez państwo i działający poza Chinami, w oparciu o obserwowaną wiktymologię, taktykę i procedury.

Jednym z powodów jest to, że atak Microsoft Exchange łączy cztery nieznane wcześniej luki w zabezpieczeniach. Możesz przeczytać szczegóły na urzędniku Blog firmy Microsoft dotyczący zabezpieczeń.

Microsoft zauważa również, że zaobserwował, że HAFNIUM wchodzi w interakcję ze swoim pakietem Microsoft Office 365, szukając luk w zabezpieczeniach. Potwierdził również, że atak ten nie ma związku z SolarWinds, ogromnym cyberatakiem, który dotknął wiele agencji rządowych USA, a także kilka wiodących firm technologicznych.

Związane z: Microsoft ujawnia rzeczywisty cel cyberataku SolarWinds

Dobra wiadomość jest taka, że ​​ataki te trwają i stanowią poważne zagrożenie dla firmy Microsoft Exchange Servers, zespół bezpieczeństwa firmy Microsoft wprowadził już serię poprawek, aby złagodzić problemy z luki w zabezpieczeniach.

Więcej informacji na temat poprawek programu Microsoft Exchange Server można znaleźć w witrynie Witryna społeczności technicznej firmy Microsoft, w tym jak pobrać i zainstalować aktualizacje, a także jak przeskanować serwery Exchange w poszukiwaniu oznak naruszenia bezpieczeństwa.

6 łatwych sposobów na zwiększenie bezpieczeństwa w programie Microsoft Defender i Windows 10

Microsoft Defender to narzędzie zabezpieczające wbudowane w system Windows 10. Zrób to jeszcze lepiej dzięki tym 6 łatwym ulepszeniom bezpieczeństwa.

O autorze