Microsoft призывает администраторов Exchange исправить ошибку, используемую в дикой природе

25
Серверы Microsoft Exchange взломаны для развертывания вымогательского ПО Hive

Корпорация Майкрософт призвала администраторов немедленно исправить уязвимость Exchange Server высокой степени серьезности, которая может позволить злоумышленникам, прошедшим проверку подлинности, удаленно выполнять код на уязвимых серверах.

Недостаток безопасности, отслеживаемый как CVE-2021-42321, влияет на Exchange Server 2016 и Exchange Server 2019 и вызван неправильной проверкой аргументов командлета в соответствии с рекомендациями Redmond по безопасности.

CVE-2021-42321 влияет только на локальные серверы Microsoft Exchange, включая те, которые используются клиентами в гибридном режиме Exchange (клиенты Exchange Online защищены от попыток эксплуатации, и им не нужно предпринимать никаких дальнейших действий).

«Нам известно об ограниченных целевых атаках в дикой природе с использованием одной из уязвимостей (CVE-2021-42321), которая является уязвимостью после аутентификации в Exchange 2016 и 2019», — пояснила Microsoft.

«Мы рекомендуем немедленно установить эти обновления, чтобы защитить вашу среду».

Для быстрой инвентаризации всех серверов Exchange в вашей среде, на которых установлены обновления (CU и SU), вы можете использовать последнюю версию сценария проверки работоспособности Exchange Server.

Если вы хотите проверить и увидеть, не пострадал ли какой-либо из ваших серверов Exchange от попыток эксплуатации CVE-2021-42321, вам необходимо выполнить следующий запрос PowerShell на каждом сервере Exchange, чтобы проверить наличие определенных событий в журнале событий:

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

В сентябре Microsoft добавила новую функцию Exchange Server под названием Microsoft Exchange Emergency Mitigation (EM), которая обеспечивает автоматическую защиту уязвимых серверов Exchange.

Это достигается за счет автоматического применения промежуточных мер защиты от ошибок безопасности с высоким риском, чтобы защитить локальные серверы от входящих атак и дать администраторам дополнительное время для применения обновлений безопасности.

Хотя Редмонд сказал, что он будет использовать эту новую функцию для смягчения активно эксплуатируемых недостатков, таких как CVE-2021-42321, сегодняшние рекомендации и сообщение в блоге, посвященное обновлениям безопасности Exchange Server в этом месяце, не содержат никаких упоминаний об использовании Exchange EM.

Локальные серверы Exchange под атакой

С начала 2021 года администраторы Exchange столкнулись с двумя массовыми волнами атак, нацеленных на уязвимости ProxyLogon и ProxyShell.

Начиная с начала марта, несколько поддерживаемых государством и финансово мотивированных злоумышленников использовали эксплойты ProxyLogon для развертывания веб-оболочек, криптомайнеров, программ-вымогателей и других вредоносных программ, нацеливаясь на более четверти миллиона серверов Microsoft Exchange, принадлежащих десяткам тысяч организаций по всему миру.

Четыре месяца спустя США и их союзники, включая Европейский союз, Великобританию и НАТО, официально обвинили Китай в этой широкомасштабной хакерской кампании Microsoft Exchange.

В августе злоумышленники также начали  сканирование  и  взлом серверов Exchange  с использованием уязвимостей ProxyShell после того, как исследователям безопасности удалось воспроизвести работающий эксплойт.

Хотя вначале полезные нагрузки, сбрасываемые на серверы Exchange, эксплуатируемые с помощью эксплойтов ProxyShell, были безвредными, злоумышленники позже переключились на  развертывание  полезных нагрузок вымогателя LockFile, доставляемых через домены Windows, взломанные с помощью эксплойтов Windows PetitPotam.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии