Хакеры взламывают почтовые серверы на базе Microsoft Exchange

Служба реагирования на компьютерные инциденты KZ-CERT АО «Государственная техническая служба» сообщает, что в ходе мониторинга казахстанского сегмента интернета на наличие угроз информационной безопасности были обнаружены ряд почтовых серверов на базе Microsoft Exchange, подверженных уязвимости ProxyShell. 

Уязвимость позволяет злоумышленникам автоматически настраивать собственную конфигурацию при минимальном взаимодействии с пользователем для проникновения в корпоративные сети компаний, к тому же они могут завладеть конфиденциальной информаций запустив вымогатель, которой уже может применять эксплоит для ProxyShell.

Напомним, ранее была опубликована информация об активном сканировании злоумышленниками на наличие хостов с уязвимостью удаленного выполнения кода Microsoft Exchange ProxyShell в интернете.

ProxyShell – это общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Эти связанные уязвимости используются удаленной эксплуатацией ProxyShell через Client Access Service (CAS), запущенной на порту 443 в Internet Information Services (IIS).

По информации экспертов Huntress Labs., на данный момент в мире от атак с использованием эксплоита для ProxyShell уже пострадали ряд строительных компаний, предприятия по переработке морепродуктов, промышленное оборудование, автомастерские, небольшой аэропорт и многие другие.

Службой KZ-CERT были проведены мероприятия по уведомлению владельцев серверов на территории Казахстана, которые подвержены уязвимости ProxyShell.

Чтобы не стать жертвой злоумышленников эксперты KZ-CERT рекомендуют:

  • Для выявления сканирования веб-сервера Microsoft Exchange рекомендуется проверить журнал IIS (Internet Information Server) с использованием Azure Sentinel на наличие строк «/autodiscover/autodiscover.json» или «/mapi/nspi/». Обнаружение в результатах целевого URL-адреса говорит о сканировании злоумышленниками сервера на предмет уязвимости;
  • Ограничить публичный доступ к веб-версии Microsoft Exchange извне, настроив «белый» список доверенных IP-адресов;
  • Незамедлительно применить актуальные обновления безопасности Microsoft Exchange;
  • Своевременно устанавливать обновления безопасности.

Подписывайтесь на наш Telegram-канал и читайте новости первыми!