2 марта 2021 года компания Microsoft срочно выпустила обновление для Exchange Server 2010, 2013, 2016 и 2019, чтобы закрыть четыре критичные уязвимости.
В опубликованном материале Microsoft сообщила, что эти уязвимости могут использоваться против крупных компаний по всему миру. Злоумышленники получают удалённый доступ к серверам Exchange, откуда они могут выгрузить критически важные данные, в том числе почтовый ящик целиком.
При этом в Microsoft заявили, что опасность есть только для развёрнутых внутри инфраструктуры сервисов. Exchange Online вне зоны риска.
Разбираемся, что это за уязвимости и как от них защититься.
Перечисленные CVE злоумышленники обычно используют в связке. Получается комплексная атака, позволяющая украсть важные данные и нанести серьёзный вред работе компании.
Мы предлагаем комплексную защиту веб-приложений, сайтов и серверов. Обезопасим вашу систему даже от сложных атак, использующих уязвимости Microsoft Exchange Server.
В основе нашей защиты — собственные центры фильтрации трафика. Все запросы к вашим серверам, в том числе и к сервисам MS Exchange, проходят через платформу и анализируются.
Если система обнаружит аномалии или некорректные данные, запросы тут же будут заблокированы. Так злоумышленники не смогут проникнуть в систему, запустить в ней вредоносный код или выгрузить какие-либо данные.
1. Обновите все серверы MS Exchange по всем доменам. Если установить патч в срочном порядке в вашей компании невозможно, попробуйте использовать обходные решения, которые предлагает Microsoft.
2. Запретите недостоверный доступ к серверам Exchange через порт 443. Так как злоумышленники проникают на серверы именно через этот порт, такая мера поможет остановить атаку на первом её этапе. Или вы можете в целом запретить подключения извне корпоративной сети.
Но этот метод поможет только от новых атак и будет бесполезен, если мошенники уже проникли на серверы.
3. Используйте скрипт PowerShell, который Microsoft выпустила специально для поиска признаков того, что ваши серверы были атакованы через эти уязвимости.
Чтобы проверить, проникли ли злоумышленники на серверы, нужно вручную выполнить команды в журналах Exchange HTTP Proxy, файлах журналов Exchange и журналах событий приложений Windows.
Если вы хотите проверить все серверы MS Exchange, вам нужно использовать команду:
Get-ExchangeServer | .\Test-ProxyLogon.ps1
Проверить локальный сервер можно с помощью команды:
.\Test-ProxyLogon.ps1
Если вы хотите сохранить результаты проверки, к данным командам вам нужно добавить:
-OutPath $home\desktop\logs
То есть, если вы проверяете все серверы Exchange и хотите сохранить результаты, команда будет выглядеть так:
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
4. Используйте скрипт nmap. Эксперт в области компьютерной безопасности Кевин Бьюмон создал его для поиска потенциально уязвимых серверов внутри вашего периметра. Скрипт несовершенен, сделан «на скорую руку», но будет подходящим решением в экстренных ситуациях.
Однако, если у вас уже подключена наша защита, вы можете не беспокоиться о новых уязвимостях Microsoft Exchange. А если ещё нет, самое время попробовать.
Защита не только обезопасит вас от незаконных проникновений на серверы. Ваша инфраструктура, сайты и приложения будут надёжно защищены от ботов и DDoS-атак любой сложности на всех уровнях.
Попробуйте защиту бесплатно или начните с бесплатной консультации.