Securitatea internă declară atacul Microsoft Exchange „de urgență”

Homeland Security a declarat de urgență un atac în curs împotriva Microsoft Exchange. Atacurile, care au început la începutul acestei săptămâni, vizează serverele Microsoft Exchange, înțelegând câteva exploatări de zi zero pentru a accesa conturi de e-mail securizate.

Securitate internă: atacul este „risc inacceptabil”

Emisiunea de securitate internă Directiva de urgență 21-02 târziu pe 3 martie, oferind câteva informații de bază despre atacul Microsoft Exchange.

Partenerii CISA au observat exploatarea activă a vulnerabilităților în produsele locale Microsoft Exchange. Nici vulnerabilitățile și nici activitatea de exploatare identificată nu sunt cunoscute în prezent pentru a afecta implementările Microsoft 365 sau Azure Cloud. Exploatarea cu succes a acestor vulnerabilități permite unui atacator să acceseze serverele Exchange locale, permițându-le să obțină acces persistent la sistem și controlul unei rețele de întreprindere.

Directiva explică apoi că un atac de această natură „reprezintă un risc inacceptabil pentru agențiile Executivului Civil Civil Federal și necesită acțiuni de urgență”.

Homeland Security a stabilit un termen limită de 12 PM EST vineri, 5 martie, pentru ca agențiile federale să respecte protocoalele de analiză și atenuare stabilite în directivă.

În prezent, fiecare agenție trebuie să își identifice serverele Microsoft Exchange, să completeze un triaj criminalistic al sistemului său memorie, jurnale și stupuri de registru, apoi analizați rezultatele pentru orice indicatori de furt de acreditări sau altele compromisuri.

Legate de: Cele mai bune alternative gratuite la Microsoft Outlook

Cine atacă serverele Microsoft Exchange?

Microsoft a arătat cifra în mod clar către un grup de hacking al statului național chinez cunoscut sub numele de HAFNIUM. De obicei, companiile durează puțin mai mult înainte de a se angaja să numească un suspect, dar Microsoft nu are nicio îndoială că un „actor foarte calificat și sofisticat” se află în spatele atacului.

Microsoft Threat Intelligence Center (MSTIC) atribuie această campanie cu mare încredere HAFNIUM, un grup evaluat ca fiind sponsorizat de stat și care funcționează din China, pe baza victimologiei, tacticii și proceduri.

O parte a motivului este că atacul Microsoft Exchange pune în comun patru vulnerabilități necunoscute anterior. Puteți citi detaliile pe oficial Blogul Microsoft Security.

De asemenea, Microsoft observă că a observat interacțiunea HAFNIUM cu suita sa Microsoft Office 365, verificând vulnerabilitățile. De asemenea, a confirmat că acest atac nu are nicio legătură cu SolarWinds, enormul atac cibernetic care a afectat mai multe agenții guvernamentale americane, alături de mai multe companii tehnologice de vârf.

Legate de: Microsoft dezvăluie ținta reală a atacului cibernetic SolarWinds

Vestea bună este că, în timp ce aceste atacuri sunt în desfășurare și reprezintă o amenințare semnificativă împotriva Microsoft Serverele Exchange, echipa de securitate Microsoft a lansat deja o serie de patch-uri pentru a atenua vulnerabilități.

Puteți găsi mai multe detalii cu privire la patch-urile Microsoft Exchange Server pe Site-ul Microsoft Tech Community, inclusiv modul de descărcare și instalare a actualizărilor, precum și modul de scanare a serverelor Exchange pentru semne de compromis.

6 moduri ușoare de a spori securitatea în Microsoft Defender și Windows 10

Microsoft Defender este un instrument de securitate încorporat în Windows 10. Faceți-o chiar mai bună cu aceste 6 îmbunătățiri ușoare de securitate.

Despre autor