Počet útoků využívající zranitelná místa Microsoft Exchange Server roste

9. 3. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Začátkem března došlo k mimořádnému zneužití několika zranitelných míst spojených se Zero-Day na Microsoft Exchange Serveru. Útočníci spustili kód v Exchange Serveru, díky němuž získali plný přístup k e-mailovým účtům na serveru. Společnost Microsoft již vydala opravu, útoků na tuto zranitelnost však neubývá.

Navzdory vydání opravy analytici společnosti Kaspersky zaznamenali další nárůst útoků - zejména u organizací v Evropě a USA, které cílily na zneužití této chyby.  V České republice byly napadeny servery Magistrátu hlavního města Prahy a Ministerstva práce a sociálních věcí.

Od začátku března 2021 společnost Kaspersky detekovala podobné útoky na více než 1 200 uživatelů, přičemž tento počet neustále rostl. Největší počet (26,93 %) cílených uživatelů byl v Německu. Mezi další země, které byly zasaženy nejvíce, patří Itálie, Rakousko a Švýcarsko a USA.

„Očekávali jsme, že pokusy o zneužití těchto zranitelných míst rychle porostou, zatím jsme podobný typ útoků detekovali ve více než stovce zemí, v podstatě po celém světě. S ohledem na typ těchto zranitelných míst je stále ohrožena řada organizací. I když počáteční útoky mohly být cílené, neexistuje důvod, aby se útočníci nezkoušeli zaměřit náhodně na jakoukoli organizaci, která provozuje tento server. Jejich akce jsou spojeny s vysokým rizikem krádeže dat nebo dokonce ransomwarem, a proto je třeba přijmout ochranná opatření co nejdříve,“ uvedl Anton Ivanov, viceprezident pro výzkum hrozeb ve společnosti Kaspersky.

Produkty Kaspersky detekují hrozbu a chrání před nedávno objevenými zranitelnými místy serveru Microsoft Exchange Server pomocí různých technologií, včetně modulů Behavior Detection a Exploit Prevention. Společnost Kaspersky spojuje útoky a související následky s těmito soubory:

  • Exploit.Win32.CVE-2021-26857.gen
  • HEUR:Exploit.Win32.CVE-2021-26857.a
  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic
  • PDM:Exploit.Win32.Generic

O útocích využívajících chyby zabezpečení Microsoft Exchange Server lze nalézt více informací na Securelist.com.

K ochraně před útoky využívajícími výše uvedenou chybu zabezpečení společnost Kaspersky doporučuje následující:

  • Co nejdříve aktualizujte Microsoft Exchange Server.
  • Zaměřit obrannou strategii na detekci pohybů dat v síti a věnovat zvláštní pozornost odchozímu provozu, abyste odhalili případnou nekalou aktivitu.
  • Pravidelně zálohujte data a ujistěte se, že k nim máte v případě nouze rychlý přístup.
  • Použijte řešení a služby, které pomáhají identifikovat a zastavit útok v raných fázích útoku.
  • Použijte spolehlivé řešení zabezpečení koncových bodů, které se zaměřuje na prevenci zneužití, analýzu chování a obsahuje nápravný modul, který je schopen zvrátit škodlivé aktivity.
Štítky: 
Bezpečnost, Exchange, Kaspersky, Microsoft
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více

Novinky v MSP platformě Acronis: AI skriptování, integrace s AWS a monitoring EDR z partnerské úrovně

18. 4. 2024. (redaktor: František Doupal, zdroj: Acronis)
Acronis přidal do své MSP platformy Acronis Cyber Protect Cloud řadu nových funkcí, včetně AI skriptování, monitoringu EDR z partnerské úrovně, a integrace s AWS a MS Entra, které dále zvyšují její hodnotu pro MSP poskytovatele. Díky aktuálním inovacím mohou poskytovatelé řízených služeb efektivněji spravovat a chránit před kybernetickými hrozbami IT infrastruktury svých zákazníků. Čtěte více

Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz. Čtěte více

U 90 % loňských útoků kyberzločinci zneužili protokol RDP

16. 4. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie společnosti It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024+ analyzující přes 150 případů reakce na incidenty řešených týmem Sophos X-Ops Incident Response v roce 2023 zjistila, že kyberzločinci zneužívají protokol vzdálené plochy (Remote Desktop Protocol – RDP), běžnou metodu pro navázání vzdáleného přístupu k systémům Windows, hned v 90 % útoků. Čtěte více