Несмотря на то, что с момента уже известной атаки на цепочку поставок SolarWinds прошло всего несколько месяцев, мы снова должны написать о другой проблеме взлома, на этот раз связанной с Microsoft Exchange Server.
В этом случае В Microsoft Exchange Server 2013, 2016 и 2019 обнаружены уязвимости нулевого дня позволяют злоумышленнику использовать их с последствиями для нескольких организаций и предприятий с локальными серверами Exchange Server, которые обеспечивают доступ к учетным записям электронной почты и даже установку вредоносного ПО для обеспечения долгосрочного доступа к таким серверам. Microsoft обнаружила атаки группы Hafnium, но также и другие могли использовать эти уязвимости нулевого дня теперь, когда атаки стали общедоступными.
Эти уязвимости были зарегистрированы и задокументированы с кодами CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065, и все они были устранены, поэтому клиентам настоятельно рекомендуется срочно обновлять. .
Если вас беспокоят эти атаки, мы рекомендуем реализовать решение высокой доступности плюс брандмауэр веб-приложений, чтобы смягчить их, например решение ZEVENET. Если обновление Exchange Server невозможно, Microsoft рекомендует реализовать следующее смягчение:
1. Снижение риска для доверенных пользователей: Доступ к серверам Microsoft Exchange для доверенных пользователей только через службу VPN.
2. Защита от файлов cookie на сервере: Реализовать правило брандмауэра веб-приложений для фильтрации вредоносных HTTPS-запросов с помощью X-AnonResource-Backend и уродливый X-BERресурс файлы cookie в заголовках, используемых в ССРФ атаки.
3. Уменьшение опасности единой системы обмена сообщениями: Отключить единую систему обмена сообщениями
4. Снижение риска панели управления Exchange: Отключить ECP VDir
5. Устранение рисков в автономной адресной книге: Отключить VDir автономной адресной книги
В ZEVENET мы работаем над тем, чтобы очень легко реализовать их с помощью модуля WAF и новых VPN-сервисов. Кроме того, с помощью ZEVENET можно реализовать высокую доступность, дополнительную безопасность и балансировку нагрузки для серверов Exchange:
Не сомневаюсь Контакты чтобы получить более подробную информацию о том, как реализовать эти меры!
Официальная информация об этих уязвимостях Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
Похожие статьи
