Перейти к содержанию

Атаки на серверы Microsoft Exchange | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Корпорация Microsoft экстренно выпустила заплатки, закрывающие сразу несколько уязвимостей в Exchange Server. Четыре из них, по словам представителей компании, уже используются в целевых атаках, так что их стоит закрыть поскорее.

Что за уязвимости и чем они опасны?

Четыре самых опасных уязвимости, которые уже вовсю эксплуатируют злоумышленники, позволяют им провернуть трехступенчатую атаку. Сначала они получают доступ к серверу Exchange, затем создают веб-шелл для удаленного доступа к серверу, а затем используют его для кражи данных из сети организации. Вот эти уязвимости:

  • уязвимость CVE-2021-26855 может быть использована для подделки запросов со стороны сервера (server-side request forgery) что позволяет обойти аутентификацию на сервере Exchange и, как следствие, ведет к удаленному запуску произвольного кода;
  • CVE-2021-26857 позволяет злоумышленникам выполнить произвольный код от имени системы (для ее использования требуются либо права администратора, либо эксплуатация предыдущей уязвимости;
  • CVE-2021-26858и CVE-2021-27065 используются для записи файла по любому пути на сервере.

Злоумышленники используют эти четыре уязвимости в связке. Впрочем, если судить по данным Microsoft, иногда они пользуются похищенными учетными данными и аутентифицируются на сервере без применения уязвимости CVE-2021-26855.

Патч, который закрывает все эти уязвимости, устраняет и еще несколько более мелких дыр в Exchange, не имеющих прямого отношения к активным целевым атакам (по крайней мере насколько нам это известно).

Кто в группе риска?

Облачная версия Exchange не подвержена данным уязвимостям, они представляют опасность только для развертываемых внутри инфраструктуры серверов. Изначально Microsoft выпустила патчи для Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, а также в рамках стратегии Defense in Depth было опубликовано обновление для Microsoft Exchange Server 2010. Впрочем, из-за массовой эксплуатации через некоторое время были закрыты и уязвимости в более старых версиях Exchange.

По мнению исследователей из Microsoft, за атаками с использованием этих уязвимостей стоят хакеры из группировки Hafnium. В сферу их интересов входят американские индустриальные компании, исследователи инфекционных заболеваний, юридические фирмы, некоммерческие организации и политические аналитики. Их цель — похищение конфиденциальной информации. Точное количество жертв не известно, однако, по данным источников KrebsOnSecurity, как минимум 30 000 организаций в США, включая малый бизнес и городские администрации, были атакованы при помощи этих уязвимостей. По данным наших экспертов, цели злоумышленников находятся не только в Америке – они атакуют серверы Exchange по всему миру. Более подробную информацию по географии атак можно найти в публикации на сайте Securelist.

Как защититься от атак на MS Exchange?

  • Первым делом — поставить патч. Если в вашей компании по каким-то причинам невозможно обновиться срочно, то Microsoft предлагает несколько обходных решений.
  • Эксперты Microsoft говорят, что начальную фазу атаки можно остановить, запретив недоверенный доступ к серверу Exchange через порт 443 или в целом ограничив подключения извне корпоративной сети. Однако это не поможет, если злоумышленники уже находятся внутри вашего периметра или если им удастся убедить пользователя с правами администратора запустить вредоносный файл.
  • Решение класса Endpoint Detection and Response (если у вас есть внутренние эксперты) или внешние специалисты сервисов типа Managed Detection and Response могут обнаружить подобное вредоносное поведение в сети.
  • Всегда помните, что каждый компьютер, подключенный к Интернету, будь то сервер или рабочая станция, нуждается в надежном решении, способном предотвращать эксплуатацию уязвимостей и имеющем систему проактивного обнаружения вредоносного поведения.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • KL FC Bot
      Майнер XMRig атакует корпоративных пользователей | Блог Касперского
      От KL FC Bot
      Начиная с 31 декабря наша телеметрия начала фиксировать масштабную активность криптомайнера XMRig. Причем в большинстве случаев запуск зловреда детектировался домашними решениями, но в некоторых — корпоративными. Тщательное исследование проблемы показало, что некие злоумышленники распространяли зловред в торрентах с играми. Целью атаки, скорее всего, были именно геймеры из разных стран, включая Россию, Бразилию и Германию, однако, вероятно в силу того что некоторые сотрудники компаний используют рабочие компьютеры в личных целях, криптомайнер был обнаружен и в корпоративных сетях.
      Вредоносная кампания
      Кампания, ласково названная нашими аналитиками StaryDobry, была тщательно спланирована: вредоносные дистрибутивы создавались и загружались на торренты начиная с сентября по декабрь 2024 года. Разумеется, игры на торрентах были представлены в виде репаков — то есть модифицированных версий программ, в которые авторы раздачи уже встроили средства обхода проверки подлинности копии игры (иными словами, игры были взломаны).
      Пользователи успешно загружали и устанавливали их. До поры до времени троянизированные игры никак не проявляли себя, но 31 декабря они получили команду с удаленного сервера злоумышленников, начали скачивать майнер и запускать его на зараженном устройстве. Троянизированы были версии популярных компьютерных игр-симуляторов Garry’s Mod, BeamNG.drive, Universe Sandbox и некоторых других.
      Мы внимательно исследовали образец зловреда и вот что обнаружили.
      Перед запуском программа проверяет, запускается она в отладочной среде / «песочнице» или нет. Если да — процедура установки немедленно прекращается. Майнер представляет собой слегка модифицированный исполняемый файл XMRig, подробно о котором мы рассказывали в 2020 году. Если количество процессорных ядер устройства меньше 8, то майнер не запускается. Наши продукты детектируют использованные в этой вредоносной кампании зловреды, такие как Trojan.Win64.StaryDobry.*, Trojan-Dropper.Win64.StaryDobry.*, HEUR:Trojan.Win64.StaryDobry.gen. Больше технических подробностей и индикаторы компрометации можно найти в публикации Securelist.
       
      View the full article
    • KL FC Bot
      Атаки шифровальщиков в 2024 году | Блог Касперского
      От KL FC Bot
      В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
      Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
      Январь 2024: атака вымогателей на зоопарк Торонто
      Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
      Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
      Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
       
      View the full article
    • KL FC Bot
      Заметные атаки на цепочку поставок в 2024 году | Блог Касперского
      От KL FC Bot
      Атака на цепочку поставок может свести на нет все усилия по обеспечению безопасности инфраструктуры компании. Предотвратить подобные атаки крайне непросто — ведь значительная часть действий злоумышленников происходят в инфраструктуре неподконтрольной ИБ-службе конечной цели. Это делает атаки на цепочку поставок одной из самых опасных угроз последних лет. Сегодня мы поговорим о масштабных инцидентах такого рода, которые привлекли наше внимание в 2024 году.
      Январь 2024: вредоносные npm-пакеты на GitHub воровали SSH-ключи у сотен разработчиков
      Первой значительной атакой на цепочку поставок в 2024 году стал инцидент с вредоносными npm-пакетами, которые в начале января были загружены на GitHub. Основной задачей модулей под названиями warbeast2000 и kodiak2k был поиск в зараженных системах SSH-ключей и их отправка создателям зловредов. Также некоторые версии пакета kodiak2k были дополнены скриптом для запуска Mimikatz — инструмента для поиска паролей в памяти.
      Всего злоумышленники успели опубликовать восемь версий warbeast2000 и более тридцати версий kodiak2k. К моменту обнаружения и удаления из репозитория вредоносные пакеты успели набрать 412 и 1281 загрузку соответственно — так что потенциально речь может идти о нескольких сотнях пострадавших разработчиков.
       
      View the full article
    • KL FC Bot
      Атака на продавцов на площадках объявлений | Блог Касперского
      От KL FC Bot
      Крупные онлайн-сервисы купли-продажи прилагают значительные усилия по борьбе с мошенничеством, но киберпреступники постоянно изобретают все новые схемы обмана как покупателей, так и продавцов. В этом году популярность получила схема с онлайн-видеозвонком: «покупатели» просят показать им товар по видео, а на самом деле выманивают коды доступа в банк. Мошенническая схема в четырех актах.
      Акт первый. Подозрение
      К продавцу дорогостоящего или сложного товара (например, телевизора) обращается покупатель, который готов сразу же перевести оплату и максимально быстро забрать товар. Но есть нюанс — сначала он просит показать товар по видео. Функциональность большинства онлайн-барахолок не предусматривает такую возможность, а если она есть, то по «счастливой» случайности оказывается мошеннику неудобна: «Вы знаете, у меня почему-то тут не работает звонок, давайте лучше в WhatsApp?» Так разговор плавно перетекает в мессенджер. Переход в WhatsApp, Telegram или любое другое средство общения помимо официального инструмента площадки объявлений — это красный флаг. На своей территории мошенникам гораздо проще, например, заманить вас на фишинговый сайт, потому что многие онлайн-барахолки попросту не разрешают делиться в чате никакими ссылками.
       
      View the full article
×
×
  • Создать...