В ходе мониторинга казахстанского сегмента интернета на наличие угроз информационной безопасности был обнаружен ряд почтовых серверов на базе Microsoft Exchange, подверженных уязвимости ProxyShell. Об этом сообщила служба реагирования на компьютерные инциденты KZ-CERT АО "Государственная техническая служба", передает Tengrinews.kz.
В ходе мониторинга казахстанского сегмента интернета на наличие угроз информационной безопасности был обнаружен ряд почтовых серверов на базе Microsoft Exchange, подверженных уязвимости ProxyShell. Об этом сообщила служба реагирования на компьютерные инциденты KZ-CERT АО "Государственная техническая служба", передает Tengrinews.kz.
ProxyShell – общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Эти связанные уязвимости используются удаленной эксплуатацией ProxyShell через Client Access Service, запущенной на порту 443 в Internet Information Services.
Данная уязвимость позволяет злоумышленникам автоматически настраивать собственную конфигурацию при минимальном взаимодействии с пользователем для проникновения в корпоративные сети компаний, к тому же злоумышленники могут завладеть конфиденциальной информацией, запустив вымогатель, которой уже может применять эксплойт для ProxyShell.
По информации экспертов Huntress Labs, на данный момент в мире от атак с использованием эксплойта для ProxyShell уже пострадали ряд строительных компаний, предприятия по переработке морепродуктов, промышленное оборудование, автомастерские, небольшой аэропорт и многие другие.
Службой KZ-CERT были проведены мероприятия по уведомлению владельцев серверов на территории Казахстана, которые подвержены уязвимости ProxyShell.
Чтобы не стать жертвой злоумышленников, эксперты KZ-CERT рекомендуют:
- для выявления сканирования веб-сервера Microsoft Exchange рекомендуется проверить журнал IIS (Internet Information Server) с использованием Azure Sentinel на наличие строк "/autodiscover/autodiscover.json" или "/mapi/nspi/". Обнаружение в результатах целевого URL-адреса говорит о сканировании злоумышленниками сервера на предмет уязвимости;
- ограничить публичный доступ к веб-версии Microsoft Exchange извне, настроив "белый" список доверенных IP-адресов;
- незамедлительно применить актуальные обновления безопасности Microsoft Exchange;
- своевременно устанавливать обновления безопасности.