Обеспечение защиты локальных серверов Exchange от недавних атак

blank.jpg

За последние несколько недель Microsoft и другие компании, работающие в сфере безопасности, стали свидетелями увеличения количества атак на локальные серверы Exchange. Целью таких атак являются почтовые сервера, чаще всего используемые малыми и средними предприятиями, хотя более крупные организации с локальными серверами Exchange также пострадали. Exchange Online не подвержен таким атакам.

Несмотря на то, что это началось с атак на государственные структуры, уязвимости также используются другими преступными организациями для осуществления новых атак, в том числе с целью вымогательства и других вредоносных действий.

Сейчас мы рассматриваем это как масштабный инцидент, и серьезность этих атак означает, что защита ваших систем критически важна. Хотя у Microsoft есть обычные методы предоставления обновлений программного обеспечения, данная ситуация требует особого подхода. В дополнение к нашим регулярным обновлениям программного обеспечения мы также предоставляем специальные обновления для более старых и не поддерживаемых программ с целью максимально упростить для вас защиту бизнеса.

Первый шаг заключается в том, чтобы убедиться, что все необходимые обновления безопасности для каждой системы установлены. Найдите версию сервера Exchange, на котором вы работаете, и установите обновление. Это обеспечит защиту от известных атак и даст вашей организации время для обновления серверов до версии с полным обновлением безопасности.

Следующим важным шагом является определение того, были ли какие-либо системы скомпрометированы, и если да, то удалите их из сети. Мы подготовили рекомендуемый ряд шагов и инструментов для помощи — включая сценарии, которые позволят вам осуществлять сканирование на наличие признаков взлома, новую версию Microsoft Security Scanner для определения подозрительного вредоносного ПО, а также новый набор индикаторов взлома, который обновляется в режиме реального времени и предоставляется в общем доступе. Эти инструменты доступны уже сейчас, и мы призываем всех клиентов к их развертыванию.

Наша служба поддержки клиентов работает круглосуточно вместе с хостинговыми компаниями и сообществом наших партнеров, чтобы повысить осведомленность потенциальных клиентов. С помощью нашего сообщества мы работаем над повышением осведомленности об этих критических обновлениях и инструментах с более чем 400 000 клиентов.

Чтобы проиллюстрировать масштабы этой атаки и показать прогресс, достигнутый в обновлении систем, мы работаем с RiskIQ. Основываясь на телеметрии от RiskIQ, 1 марта мы увидели общую картину, состоящую из почти 400 000 серверов Exchange. К 9 марта было чуть более 100 000 серверов, которые все еще были уязвимы. Эта цифра неуклонно снижалась, оставалось обновить только около 82 000. Мы выпустили еще один пакет обновлений 11 марта, и таким образом охватили более 95% всех версий, выставленных в Интернете.

Наконец, группы, пытающиеся воспользоваться этой уязвимостью, делают это с целью вымогательства и установки других вредоносных программ, которые могут нарушить непрерывность бизнеса. Для лучшей защиты от этого мы призываем всех клиентов просмотреть руководство по вымогательствам от U.S. Cybersecurity Agency and Infrastructure Security, а также собственное руководство от Microsoft о том, как подготовиться и защититься от такого рода эксплойтов.

Это уже второй случай за последние четыре месяца, когда национальные государственные субъекты занимаются кибератаками, которые могут затронуть предприятия и организации любого масштаба. Мы продолжаем внимательно следить за этими изощренными атаками и используем широту и глубину наших технологий, опыт и знания об угрозах для более эффективного предотвращения, обнаружения и реагирования.

Корпорация Microsoft активно поддерживает своих клиентов в борьбе с этими атаками, внедряет инновационные подходы к обеспечению безопасности и тесно сотрудничает с государственными органами и организациями, занимающимися вопросами безопасности, чтобы обеспечить безопасность своих клиентов и сообществ.

©  Microsoft