Рада національної безпеки і оборони України попередила про високий рівень кіберзагроз через зафіксовану активну експлуатацію вразливостей у Microsoft Exchange.

Вразливими є локальні версії Microsoft Exchange Server 2010, 2013, 2016 та 2019 років. Інформація щодо вразливостей у хмарних версіях Microsoft 365, Exchange Online, Azure Cloud відсутня.

Найбільшу активність в експлуатації вразливих систем виявило китайське кібершпигунське угруповання Hafnium, проте вже підтвердили активність й інших хакерських груп: Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic, Winnti Group (BARIUM, APT41), Tonto Team (CactusPete), ShadowPad, Mikroceen, DLTMiner.

Чому це небезпечно?

Хакери, які зможуть скористатися цими вразливостями, отримають повний доступ до скомпрометованого серверу, включно з доступом до файлів, електронної пошти, облікових записів, а також до ресурсів внутрішньої мережі організації.

Дані можуть викрасти й вимагати за них викуп. В одному з підтверджених випадків злочинці вимагали 16 тисяч доларів.

Як захиститися?

Компанія Microsoft випустила інструменти для самостійної перевірки наявності вразливості. Але вони незавжди спрацьовують: за повідомленням парламенту Норвегії, їхні інформаційні системи зламали та викрали дані, хоча ці оновлення були встановлені.

Тому під час установлення пакетів оновлення необхідно застосувати з командного рядка від імені користувача з правами адміністратора, після установлення необхідно перезавантажити сервер. Після завершення процесу оновлень необхідно здійснити повторну перевірку можливості експлуатації вразливості (інструменти – утиліта MSERT або скрипт nmap).

У разі виникнення проблем також можна звернутися до Національного координаційного центру кібербезпеки при РНБО за адресою [email protected].

Станом на 12 березня 2021 року в Україні виявлено понад 1000 вразливих серверів Microsoft Exchange Server, з них 98,7% використовуються в приватному секторі.

 Читайте «Нормальні новини» в телеграмі