Атаки на Microsoft Exchange: злоумышленник атакуют неисправные уязвимости

Microsoft сообщила, что хакеры, использующие разновидность программы-вымогателя, известную как DearCry, теперь нацелены на непропатченные серверы Exchange, всё ещё подвержены четырём уязвимостям, которые использовались подозреваемыми правительственными хакерами Китая.

Microsoft снова предупреждает клиентов Exchange, чтобы они применяли экстренные исправления, выпущенные на прошлой неделе, для устранения критических недостатков, влияющих на локальные почтовые серверы Exchange. 

2 марта Microsoft призвала клиентов немедленно установить исправления из-за риска того, что в ближайшие недели и месяцы ещё больше киберпреступников и поддерживаемых государством хакеров воспользуются этими недостатками. 

В нем говорится, что существующие атаки были осуществлены китайской хакерской группой, которую она называет Hafnium. Тем не менее, поставщик средств безопасности ESET вчера сообщил, что по крайней мере 10 поддерживаемых государством хакерских групп теперь пытались использовать уязвимости в неустановленных серверах Exchange.   

И теперь киберпреступники стремятся подпитаться ошибками Exchange. По данным Microsoft, злоумышленники-вымогатели, распространяющие штамм под названием DearCry, пытаются установить вредоносное ПО после компрометации серверов Exchange. 

Microsoft добавила, что клиентам, использующим антивирус Microsoft Defender и использующим автоматические обновления, не нужно предпринимать дополнительных действий после установки исправлений для сервера Exchange. 

Похоже, что Microsoft рассматривает этот набор ошибок Exchange как неотложную проблему, которую необходимо исправить, и на прошлой неделе предоставила дополнительные обновления безопасности для устранения недостатка в неподдерживаемых версиях Exchange. 

Агентство кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности на прошлой неделе приказало федеральным агентствам исправить недостатки Exchange или отключить уязвимые серверы от Интернета. 

CISA также заявила, что «осведомлена о злоумышленниках, использующих инструменты с открытым исходным кодом для поиска уязвимых серверов Microsoft Exchange Server, и рекомендует организациям исследовать признаки компрометации как минимум с 1 сентября 2020 года».

Ошибки затрагивают Exchange Server 2013, Exchange Server 2016 и Exchange Server 2019, но не Exchange Online. 

Microsoft выпустила сценарий на своем сайте совместного использования кода GitHub, который администраторы могут использовать для проверки наличия веб-оболочек на серверах Exchange. 

Этот скрипт может пригодиться при удалении злоумышленников с ранее скомпрометированной системы. Исследователь безопасности Microsoft Кевин Бомонт рекомендовал организациям запускать сценарий после исправления, чтобы убедиться, что веб-оболочки удалены. 

CISA настоятельно рекомендует организациям как можно скорее запустить сценарий Test-ProxyLogon.ps1, чтобы определить, не скомпрометированы ли их системы.