Главная » Блоги Экспертов И ИТ-Компаний » Атака на серверы Exchange: срочно обновите их

Атака на серверы Exchange: срочно обновите их

Кибер-инциденты, вызванные уязвимостями в системе безопасности, всегда были и остаются серьезной проблемой информационной безопасности. К числу известных кибер-атак, которые использовали уязвимости, среди прочих следует отнести WannaCry, нарушение данных в Equifax и Stuxnet.

Принято считать, что уязвимость нулевого дня представляет собой самую большую угрозу, поскольку жертвы не знают об опасности, однако это далеко не так. Более 90% успешных атак можно было бы избежать, если бы своевременно применялись соответствующие патчи и обновления.

Волна атак на серверы Exchange

На прошлой неделе корпорация Microsoft предупредила о заметном росте количества попыток компрометации серверов Exchange. Хотя многие такие атаки используют фишинг и методы социальной инженерии в своих попытках скомпрометировать серверы, злоумышленники также используют уязвимость удаленного выполнения кода, влияющую на базовый компонент Internet Information Service (IIS) сервера Exchange, против которого нацелена атака.

В частности, они используют уязвимость CVE-2020-0688, для которой в феврале этого года был выпущен патч. Следствием этого недостатка безопасности является то, что все серверы Exchange последнего десятилетия используют одинаковые криптографические ключи для бэкэнда панели управления. Это, в свою очередь, означает, что хакер может установить вредоносное ПО и взять под контроль сервер, получив доступ к электронной почте жертвы.

Зачем применять патчи?

Когда Microsoft объявила об этой уязвимости в феврале, многие организации не обратили на это особого внимания и оставили свои серверы Exchange незащищенными, несмотря на предупреждения о всплеске атак в ближайшем будущем. В апреле аналитики по безопасности отметили, что в Интернете по-прежнему находится более 350 000 уязвимых серверов Exchange.

Часто после того, как злоумышленник внедрился в сервер Exchange через дыру  безопасности, следующим его шагом является внедрение веб-консоли на одном из путей сервера, доступных из Интернета.

Эти инструменты используются хакерами на скомпрометированных серверах для обеспечения доступа и выполнения удаленных команд и произвольного кода, что позволяет им «доставить» вредоносную «полезную нагрузку» и осуществлять горизонтальные перемещения по сетям.

Техники «живучести»

После внедрения злоумышленники используют веб-консоль для изучения домена, и если они сталкиваются с плохо настроенным сервером, они добавляют в группы новые учетные записи с высокими привилегиями, такие как администраторы, пользователи удаленных рабочих столов и администраторы предприятия.

Это позволяет им иметь неограниченный доступ к любому пользователю или группе в организации. Затем злоумышленники используют средства Windows для поиска учетных данных учетной записи пользователя, чтобы сделать дамп памяти сервиса проверки подлинности локальной системы безопасности (LSASS).

Для того чтобы получить присутствие в памяти без необходимости доступа к жесткому диску, злоумышленники используют программное обеспечение с открытым исходным кодом, такое как Mimikatz, а в тех случаях, когда системы настроены для обнаружения этой утилиты, они используют модифицированную версию внутри оболочки, написанной на языке программирования Go.

Злоумышленники также пытаются отключить антивирусную защиту и функции сканирования файлов. Это делается для того, чтобы защитить .zip-файлы и другие инструменты сжатия файлов, такие как rar.exe, которые используются для сокрытия украденных .pst-файлов и дампов памяти.

Защитите ваши серверы Exchange

Атака на сервер Exchange может позволить противникам получить доступ ко всем видам ценной корпоративной информации. Именно по этой причине так важно защищать такие серверы.

В этом случае очень важно как можно скорее применить соответствующий патч. Он предотвратит проникновение злоумышленников в ваши системы и защитит от угрозы корпоративной безопасности. Тем не менее, для многих организаций управление уязвимостями безопасности является серьезной проблемой, и они часто не знают о наиболее критических уязвимостях.

Для этого компания Panda Security создала специальный портал для выявления наиболее критических уязвимостей. «Top Vulnerabilities 2020» - это список наиболее важных уязвимостей безопасности, обнаруженных в 2020 году и влияющих на компьютеры с операционной системой Windows, с подробными сведениями о серьезности уязвимости, вендоре и CVE.

Как видите, уязвимости - это постоянная угроза для любого вида предприятий. Не допускайте того, чтобы незащищенные дыры в системе безопасности ставили под угрозу безопасность вашей организации.

 

Оригинал статьи:  Exchange servers are under attack: patch them without delay

 

Panda Security в России и СНГ

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 https://www.cloudav.ru


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>