16. marts, 2021

Uzbrukumi, kas vērsti pret Microsoft Exchange serveriem

microsoft exchange

.LV ir konstatējusi veiksmīgus uzbrukumus MS Exchange serveriem Latvijā, kas veikti vairākas dienas pirms Microsoft publicēja atjauninājumus ievainojamību CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 novēršanai. Ietekmētas visas aktuālās MS Exchange versijas, uzbrukums vērsts pret web komponenti (OWA un ECP). Atsevišķos gadījumos kompromitēšana notikusi nepilnu stundu pirms atjauninājumu uzstādīšanas.

Rezultātā .LV aicina uzskatīt visus MS Exchange serverus par kompromitētiem, līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais. Pārbaužu veikšanai .LV iesaka izmantot sekojošus rīkus (jāizmanto abi!):

  1. https://github.com/microsoft/CSS-Exchange/tree/main/Security
  2. https://github.com/cert-lv/exchange_webshell_detection

.LV uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja atjauninājumi tika uzstādīti, tiklīdz tie bija pieejami.

Kompromitēšanas gadījumā .LV aicina:

  1. par to informēt .LV;
  2. nosūtīt uz @cert.lv identificēto ļaunatūru, tiklīdz tā ir pamanīta, pat ja informācija sākotnēji ir nepilnīga;
  3. efektīvāka .LV atbalsta saņemšanai pēc iespējas agrāk izveidot attēlu (memory dump), ieteicamais rīks: https://github.com/Velocidex/WinPmem/releases/tag/v4.0.rc1

Jautājumu vai neskaidrību gadījumā aicinām sazināties, rakstot uz @cert.lv

Microsoft ārpus kārtas publicētie atjauninājumi:

Papildu informācija:

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

lvLatviešu valoda