Exchange сървърите са атакувани: актуализирайте!

Exchange сървърите са атакувани: актуализирайте!
exchange

Кибер-инцидентите, които произтичат от уязвимостите в сигурността, винаги са били и все още са основен проблем в киберзащитата. Най-известните кибератаки в последно време , които се дължат на  уязвимости, са WannaCry, както и изтичане на данни от Equifax и Stuxnet.

Има тенденция да се смята, че уязвимостите от типа нулев ден представляват най-голямата заплаха, тъй като жертвите не знаят за опасността, но това далеч не е вярно. Повече от 90 процента от успешните атаки биха могли да бъдат избегнати само чрез актуализация и поправки в кода на даден софтуер.

Вълна от атаки, насочени към Exchange сървъри

Миналата седмица Microsoft предупреди за значително увеличаване на опитите за компрометиране на Exchange сървърите. Въпреки че много от тези атаки използват фишинг и техники за социално инженерство при опитите си да компрометират сървъри, атакуващите също така използват уязвимост при изпълнение на отдалечен код, засягаща основния компонент на Internet Information Service (IIS) на целевия Exchange сървър.

По-конкретно, те използват уязвимостта CVE-2020-0688, за която през февруари тази година беше пуснат патч. Последицата от този недостатък в сигурността е, че всички сървъри на Exchange от последното десетилетие използват идентични криптографски ключове за back-end-а си в контролния панел. Това от своя страна означава, че атакуващият може да инсталира злонамерен софтуер и да поеме контрола върху сървъра, получавайки достъп до имейла на жертвата.

Защо да прилагате кръпки и актуализации?

Когато Microsoft обяви тази уязвимост през февруари, много организации обърнаха малко внимание и оставиха своите сървъри на Exchange незакърпени, въпреки предупрежденията за бъдещ пик на атаките. През април анализаторите по сигурността отбелязаха, че все още има повече от 350 000 уязвими Exchange сървъри в Интернет.

Често, след като хакер е проникнал в сървъра на Exchange поради недостатък на защитата, следващата стъпка е разполагане на web shell на един от сървърите, достъпни от Интернет.

Това са инструменти, използвани от хакери на компрометирани сървъри, за да поддържат достъп и да изпълняват отдалечени команди и произволен код, за да доставят зловреден софтуер и да останат скрити в IT мрежите.

Техники на постоянство

Веднъж получили достъп, атакуващите използват мрежовата обвивка, за да изследват домейна, и ако попаднат на лошо конфигуриран сървър, те добавят нови акаунти към групи с високи привилегии като администратори, потребители на отдалечен работен плот и корпоративни администратори.

Това дава възможност за неограничен достъп до всеки потребител или група в организацията. След това нападателите използват инструменти на Windows, за да търсят идентификационни данни на потребителския акаунт, за да изхвърлят паметта на подсистемата за локална услуга  за сигурност (LSASS).

За да получат постоянно място  в паметта, без да се налага да имат достъп до твърдия диск, хакерите използват софтуер с отворен код, например Mimikatz. Когато са създадени системи за откриване на този инструмент, те използват модифицирана версия вътре в обвивка, написана на програмния език Go.

Хакерите също така се опитват да деактивират антивирусната защита и функциите за сканиране на файлове. Това е с цел да се защитят .zip файлове и други инструменти за компресиране като rar.exe, които се използват за прикриване на откраднати .pst файлове.

Защитете вашите Exchange сървъри

Атаката срещу Exchange сървър може да даде възможност на противниците да имат достъп до всички видове ценна корпоративна информация. Ето защо е толкова критично да се защитават такива сървъри.

В този случай е важно да приложите съответния патч възможно най-скоро. Това ще попречи във вашите системи да бъде проникнато и вашата корпоративна сигурност да бъде компрометирана. Независимо от това, за много организации управлението на пропуските в сигурността е основно предизвикателство и те често не знаят за най-критичните уязвимости.

Ето защо Panda Security създаде специален портал, който да посочи най-критичните уязвими места. „Топ уязвимости 2020“ е списък на най-важните пропуски в сигурността, разкрити през 2020 г. и засягащи Windows, с подробности за тежестта на уязвимостта, доставчика и CVE.

Както можете да видите, уязвимостите са постоянна заплаха за всеки тип бизнес. Не позволявайте на дупките в  сигурността да компрометират вашата организация.

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

AntivirusBG – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в:

Категории:

Следвай ни в: