Raport: 92 procent serwerów Microsoft Exchange jest teraz chronionych przed ProxyLogon

Firma Microsoft informuje, że około 92 procent wszystkich serwerów Microsoft Exchange jest teraz zaktualizowanych i chronionych przeciwko luce w zabezpieczeniach ProxyLogon, która nękała usługę - oraz zespoły zajmujące się badaniami i reakcjami bezpieczeństwa - dla tygodni.

Liczba niezałatanych serwerów Microsoft Exchange wynosi około 30 000, w porównaniu z około 400 000.

Ogromna redukcja podatnych na ataki serwerów Microsoft Exchange

Dokładna liczba podatnych serwerów Microsoft Exchange nie jest znana.

Jednak 2 marca, kiedy Microsoft opublikował swój pierwszy zestaw poprawek bezpieczeństwa, około 400 000 serwerów Exchange było narażonych na lukę w zabezpieczeniach ProxyLogon. Tydzień po uruchomieniu i wdrożeniu poprawek bezpieczeństwa, 9 marca, liczba ta spadła do około 100 000 niezałatanych serwerów.

Obecnie najnowszy raport Microsoftu wskazuje, że pozostało mniej niż 30 000 wrażliwych serwerów Exchange.

Od czasu tego tweeta prawdopodobnie liczba ta jeszcze się zmniejszyła.

Firma Microsoft podjęła istotne kroki w celu ochrony wrażliwych serwerów Microsoft Exchange w obliczu przedłużającej się luki w zabezpieczeniach ProxyLogon. Na przykład narzędzie Exchange On-Premises Mitigation Tool (EOMT) to łatka do ProxyLogon za jednym kliknięciem narzędzie, które ułatwia klientom Microsoft Exchange Server szybkie zabezpieczenie plików infrastruktura.

Związane z: Firma Microsoft wprowadza poprawkę do serwera Exchange jednym kliknięciem

Firma Microsoft dodała również narzędzie do automatycznego poprawiania Microsoft Defender. Według posta na oficjalny blog Microsoft Securityklienci korzystający z programu Microsoft Defender Antivirus i System Center Endpoint Protection będą „automatycznie złagodzić CVE-2021-26855 na każdym wrażliwym serwerze Exchange, na którym został wdrożony ”.

Związane z: Program Microsoft Defender może teraz automatycznie zapobiegać exploitom Exchange Server

Czy to koniec ProxyLogon?

ProxyLogon był poważnym problemem dla klientów Microsoft Exchange Server. Atak dotknął dziesiątki tysięcy serwerów, obejmując firmy o różnych kształtach i rozmiarach.

Luka ProxyLogon połączyła cztery exploity typu zero-day w celu ataku na serwery Microsoft Exchange. Po ujawnieniu luki w wielu branżach na całym świecie odnotowano wzrost liczby ataków z użyciem programu Microsoft Exchange Server klienci zgłaszający szkodliwe oprogramowanie wydobywające kryptowaluty, różne typy oprogramowania ransomware, powłoki internetowe i inne wdrażane przez złośliwe oprogramowanie przyjęcia.

Na Wpis na blogu ESET Research odkrył, że serwery Microsoft Exchange były atakowane przez „co najmniej 10 grup APT [Advanced Persistent Threat]”, z których wszyscy chcieli wykorzystać tę lukę.

Zauważyliśmy, że luki były wykorzystywane przez innych aktorów zagrożeń, zaczynając od Tick, a szybko dołączyły do ​​nich LuckyMouse, Calypso i Winnti Group. Sugeruje to, że wielu aktorów zagrożeń uzyskało dostęp do szczegółowych informacji o lukach przed udostępnieniem łatka, co oznacza, że ​​możemy odrzucić możliwość, że stworzyli exploita poprzez inżynierię wsteczną Microsoft aktualizacje.

Luka ProxyLogon jeszcze się nie skończyła. Nadal istnieje ponad 20 000 podatnych na ataki serwerów Microsoft Exchange, ale klienci i firmy zajmujące się bezpieczeństwem mają nadzieję, że koniec jest bliski.

Departament Bezpieczeństwa Wewnętrznego ogłasza „stan awaryjny” ataku Microsoft Exchange

Microsoft przypina atak na aktora zagrażającego państwu.

Czytaj dalej

O autorze