Sākums netsec Uzbrukumi, kas vērsti pret Microsoft Exchange serveriem

Uzbrukumi, kas vērsti pret Microsoft Exchange serveriem

1 minūtes lasīšanai
microsoft exchange

CERT.LV ir konstatējusi veiksmīgus uzbrukumus MS Exchange serveriem Latvijā, kas veikti vairākas dienas pirms publicēja atjauninājumus ievainojamību CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 novēršanai. Ietekmētas visas aktuālās MS Exchange versijas, vērsts web komponenti (OWA un ECP). Atsevišķos gadījumos kompromitēšana notikusi nepilnu stundu pirms atjauninājumu uzstādīšanas.

Rezultātā CERT.LV aicina uzskatīt visus MS Exchange serverus par kompromitētiem, līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais. Pārbaužu veikšanai CERT.LV iesaka izmantot sekojošus rīkus (jāizmanto abi!):

  1. https://github.com/microsoft/CSS-Exchange/tree/main/Security
  2. https://github.com/cert-lv/exchange_webshell_detection

CERT.LV uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja tika uzstādīti, tiklīdz tie bija pieejami.

Kompromitēšanas gadījumā CERT.LV aicina:

  1. par to informēt CERT.LV;
  2. nosūtīt uz [email protected] identificēto ļaunatūru, tiklīdz tā ir pamanīta, pat ja sākotnēji ir nepilnīga;
  3. efektīvāka CERT.LV atbalsta saņemšanai pēc iespējas agrāk izveidot atmiņas attē (memory dump), ieteicamais rīks: https://github.com/Velocidex/WinPmem/releases/tag/v4.0.rc1

Jautājumu vai neskaidrību gadījumā aicinām sazināties, rakstot uz [email protected]

Microsoft ārpus kārtas publicētie atjauninājumi:

Papildu informācija:

Ielādēt vairāk rakstus
Load More By Jānis Alksnis
Load More In netsec
Komentāri ir slēgti

Iesakām izlasīt šādus rakstus

Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs

latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…