Aktuāli

CERT.LV aicina uzņēmumus un iestādes pārbaudīt "Microsoft Exchange" serverus

Sabiedrība
Sargs.lv/CERT.LV
epasts
Foto: Foto: Pixabay.com

Marta sākumā tika konstatētas kritiskas ievainojamības "Microsoft (MS) Exchange" e-pasta serveros, kas tiek plaši izmantoti gan valsts, gan privātajā sektorā. Pieejamie ārkārtas "Microsoft" atjauninājumi pasargā serverus no turpmākiem uzbrukumiem, taču nenovērš apdraudējumu, ja uzbrukums noticis vēl pirms atjauninājumu uzstādīšanas, brīdina Informācijas tehnoloģiju drošības incidentu novēršanas institūcija "CERT.LV".

Ņemot vērā augsto uzbrucēju aktivitāti pirms atjauninājumu publicēšanas, "CERT.LV" aicina iestādes un uzņēmumus veikt savu "MS Exchange" serveru pārbaudi. LĪdz 2021. gada 15. martam "CERT.LV" ir konstatējusi ļaunatūras klātbūtni vismaz desmit "MS Exchange" serveros valsts sektorā, taču paredzamais upuru skaits valstī kopumā varētu pārsniegt 150 organizācijas.

Veiksmīga uzbrukuma gadījumā pastāv risks, ka uzbrucēji ne vien iegūst darbinieku e-pastu piekļuves datus, piekļuvi e-pastu sarakstēm un adrešu grāmatiņai, bet var arī iet soli tālāk un veikt darbības, kas var kompromitēt visu uzņēmuma tīkla infrastruktūru.

Ietekmētas ir visas aktuālās, lokālās (on-premises) "MS Exchange" versijas. Uzbrukums vērsts pret tīmekļa komponenti (OWA un ECP). Atsevišķos gadījumos kompromitētajā infrastruktūrā novērota arī šifrējošā izspiedējvīrusa klātbūtne, kas var paralizēt visa uzņēmuma vai iestādes darbību.

Dažos gadījumos serveri kompromitēti nepilnu stundu pirms atjauninājumu uzstādīšanas, tāpēc līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais, "CERT.LV" aicina uzskatīt visus "MS Exchange" serverus par kompromitētiem.

Pārbaužu veikšanai "CERT.LV" iesaka izmantot sekojošus rīkus (jāizmanto abi!):

  1. https://github.com/microsoft/CSS-Exchange/tree/main/Security
  2. https://github.com/cert-lv/exchange_webshell_detection

"CERT.LV" uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms servera programmatūras atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja atjauninājumi tika uzstādīti, tiklīdz tie bija pieejami.

"CERT.LV" aicina visus uzņēmumus un iestādes, kas izmanto "MS Exchange" e-pasta serverus, pret aplūkotajiem riskiem attiekties nopietni un veikt nepieciešamās pārbaudes. Ja iestādei vai uzņēmumam trūkst kapacitātes vai zināšanu minēto darbību veikšanai – iesakām apsvērt iespējas piesaistīt speciālistus ārpakalpojumā.

"Microsoft" ārpus kārtas publicētie atjauninājumi:

Papildu informācija:

sabiedrība
kiberdrošība

Dalies ar šo ziņu