В марте работающие в сфере безопасности компании зафиксировали значительный рост атак на свежую уязвимость почтовых серверов Microsoft Exchange. Их целью чаще всего становятся предприятия сегмента SMB, в том числе с целью вымогательства и других вредоносных действий. Однако более крупные организации с локальными серверами Exchange также пострадали. Облачный Exchange Online не подвержен таким атакам.

Учитывая масштабы инцидента, корпорация Microsoft в дополнение к стандартным методам предоставления обновлений ПО подготовила специальные обновления для более старых и уже не поддерживаемых систем.

Первый шаг для защиты используемого почтового сервера заключается в том, чтобы убедиться, что установлены все необходимые обновления безопасности. Найдите версию сервера Exchange, на котором вы работаете, и установите обновление. Это обеспечит защиту от известных атак и даст время на подготовку к переходу на более современные версии.

Следующим важным шагом является определение того, были ли какие-либо системы скомпрометированы. Если да, рекомендуется удалить их из сети. Специалисты Microsoft подготовили рекомендуемый ряд шагов и инструментов для этого – включая сценарии, которые позволяют провести сканирование на наличие признаков взлома, новую версию Microsoft Security Scanner для определения подозрительного вредоносного ПО, а также новый набор индикаторов взлома, который обновляется в режиме реального времени и предоставляется в общем доступе.

Согласно оценкам телеметрии RiskIQ, на 1 марта было зафиксировано почти 400 тыс. серверов Exchange. После выпуска обновлений, к 9 марта оставалось еще около 100 тыс. уязвимых серверов. Еще один пакет обновлений был выпущен 11 марта, с целью охватить более 95% всех версий, выставленных в Интернете.

Учитывая, что группы, пытающиеся воспользоваться этой уязвимостью, делают это с целью вымогательства и установки других вредоносов, которые могут нарушить непрерывность бизнеса, Microsoft рекомендует для лучшей защиты ознакомиться с руководством по противодействию вымогательству от U.S. Cybersecurity Agency and Infrastructure Security, а также с рекомендациями от Microsoft по подготовке и защите от такого рода эксплойтов.

Источник: ko.com.ua