Ataki na luki w Exchange Server. Microsoft ostrzega
Firma zaleciła szereg środków zaradczych klientom.
Cyberprzestępcy już w sierpniu penetrowali firmowe sieci wykorzystując luki – twierdzą eksperci.
Microsoft poinformował, iż analizuje dwie luki w zabezpieczeniach zero-day dotyczące programów Exchange Server 2013, 2016 oraz 2019. Pierwsza to CVE-2022-41040 typu Server-Side Request Forgery (SSRF), a druga CVE-2022-41082 umożliwia zdalne wykonanie kodu, gdy PowerShell jest dostępny dla atakującego.
Aby atakujący mogli wykorzystać te błędy, niezbędny jest uwierzytelniony dostęp do podatnego serwera Exchange – twierdzi koncern.
Microsoft: „ograniczone ataki”
O lukach poinformowała wietnamska firma GTSC, specjalizująca się w cyberbezpieczeństwie. Twierdzi, że już w sierpniu br. wspomniane podatności w Exchange Server wykorzystywano do ataków na klientów. Pozwalały napastnikom penetrować sieć przedsiębiorstwa.
Microsoft przyznaje, że „zdaje sobie sprawę z ograniczonych ataków ukierunkowanych wykorzystujących te dwie luki”. W tych atakach CVE-2022-41040 może umożliwić uwierzytelnionej osobie atakującej zdalne wywołanie CVE-2022-41082.
Koncern zapewnił, iż w przyspieszonym tempie pracuje nad harmonogramem wydania poprawki. Zalecił szereg środków zaradczych i wydał wskazówki mające pomóc klientom chronić się przed atakami.
Rekomenduje m.in. klientom Exchange Server wyłączenie zdalnego dostępu PowerShell dla użytkowników, którzy nie są administratorami.
Wydano też np. rozwiązanie łagodzące problem w usłudze Exchange Emergency Mitigation Service (EEMS), wskazówki dotyczące interfejsu skanowania antymalware (AMSI) oraz zalecono audyt wyjątków antywirusowych w celu optymalizacji wykrywania i blokowania wykorzystania luk w zabezpieczeniach Exchange.
Podobne aktualności
Trzy najczęstsze zagrożenia w polskich sieciach firmowych
Polskie przedsiębiorstwa są atakowane średnio 1170 razy w tygodniu.
Krytyczna luka w firewallach Palo Alto wykorzystana w atakach
Firma twierdzi, że wykorzystanie luki było jak dotąd „ograniczone”.
Pilna dyrektywa w związku z naruszeniem poczty e-mail Microsoftu
Amerykańska agencja CISA potwierdza kradzież e-maili przez rosyjską gruoę i nakazuje podmiotom rządowym natychmiastowe działania.