CVE Microsoft Exchange są szerzej wykorzystywane niż sądzono


Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) rządu USA tak zrobiła wydał zarządzenie awaryjne ostrzeżenie wszystkich rządowych departamentów i agencji cywilnych prowadzących lokalną instalację Microsoft Exchange do zaktualizowania lub odłączenia produktu w związku z wpływem czterech nowo ujawnionych luk – CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE- 2021-27065 – spready.

CISA wezwała również agencje amerykańskie do gromadzenia obrazów kryminalistycznych i poszukiwania znanych wskaźników naruszenia bezpieczeństwa (IOC) w odpowiedzi na aktywne wykorzystywanie luk w zabezpieczeniach, które spowodował wydanie poprawki poza kolejnością od firmy Microsoft.

„Ta awaryjna dyrektywa pomoże nam zabezpieczyć sieci federalne przed bezpośrednim zagrożeniem, podczas gdy CISA współpracuje ze swoimi partnerami międzyagencyjnymi, aby lepiej zrozumieć techniki złośliwego aktora i motywacje do dzielenia się z naszymi interesariuszami” – powiedział pełniący obowiązki dyrektora CISA Brandon Wales.

„Szybkość, z jaką CISA wydała tę nadzwyczajną dyrektywę, odzwierciedla powagę tej słabości i wagę wszystkich organizacji – w rządzie i sektorze prywatnym – w podjęciu kroków w celu jej naprawienia”.

Nominet Rządowy ekspert ds. bezpieczeństwa Steve Forbes skomentował: „Dyrektywa CISA… nakazująca agencjom informowanie o poziomie narażenia, stosowanie poprawek bezpieczeństwa lub odłączanie programu jest ostatnią z serii coraz częściej wydawanych przez agencję dyrektyw awaryjnych od momentu jej powstania dwa lata temu.

„Podatności takie jak te pokazują, że te skoordynowane krajowe środki ochronne muszą skutecznie i skutecznie łagodzić skutki ataków, które mogą mieć poważne konsekwencje dla bezpieczeństwa narodowego” – powiedział.

Reklama

Ostrożność ze strony organizacji sektora publicznego – Brytyjski National Cyber ​​Security Center również wydał ostrzeżenie – wydaje się być rozsądnym rozwiązaniem, ponieważ badacze bezpieczeństwa i obserwatorzy z całego świata rozważają luki w zabezpieczeniach, twierdząc, że mogą być one znacznie szerzej wykorzystywane, niż wynikałoby z ujawnienia Microsoftu.

„Szybkość, z jaką CISA wydała tę nadzwyczajną dyrektywę, odzwierciedla powagę tego [Microsoft Exchange] wrażliwość i znaczenie wszystkich organizacji – w sektorze rządowym i prywatnym – w podjęciu kroków w celu naprawienia tego problemu ”

Brandon Wales, CISA

Podczas gdy Redmond opisał ataki jako ukierunkowane i ograniczone – i prawdopodobnie pochodzące od chińskiego aktora wspieranego przez państwo, znanego jako Hafnium w swojej matrycy klasyfikacji – Johna Hammonda z Bezpieczeństwo Łowczyni powiedział, że jego własne skany zidentyfikowały ponad 200 serwerów partnerów jego firmy, które otrzymały ładunki powłoki internetowej zgodnie z ujawnieniem firmy Microsoft.

„Firmy te nie są w pełni zgodne z wytycznymi Microsoftu, ponieważ niektóre osoby to małe hotele, lodziarnia, producent urządzeń kuchennych, wiele społeczności seniorów i inne przedsiębiorstwa średniej wielkości” – powiedział Hammond.

„Byliśmy również świadkami wielu ofiar rządów miast i hrabstw, pracowników służby zdrowia, banków [and] instytucje finansowe i kilku prywatnych dostawców energii elektrycznej ”.

Hammond powiedział, że wśród podatnych na ataki serwerów jego skany znalazły ponad 350 powłok sieciowych (niektórzy klienci mogą mieć więcej niż jedną), co potencjalnie wskazuje na zautomatyzowane wdrażanie lub wiele nieskoordynowanych aktorów. Dodał, że obserwowane punkty końcowe miały program antywirusowy lub wykrywanie punktów końcowych i reagowanie na nie na pokładzie, ale aktorzy zagrażający wydawali się omijać większość produktów defensywnych, przez co łatanie było jeszcze ważniejsze.

„Widzieliśmy na podstawie informacji uzyskanych od społeczności honeypots został zaatakowany, dając jasno do zrozumienia, że ​​cyberprzestępcy po prostu skanują internet w poszukiwaniu nisko wiszących owoców ”- powiedział.

„Te ataki są poważne ze względu na fakt, że każda organizacja [relies on] poczta e-mail i Microsoft Exchange są tak szeroko stosowane. Serwery te są zazwyczaj publicznie dostępne w otwartym internecie i można z nich korzystać zdalnie. Te luki można wykorzystać do zdalnego wykonania kodu i pełnego naruszenia bezpieczeństwa celu. Stamtąd atakujący mają przyczółek w sieci i mogą rozszerzyć swój dostęp i wyrządzić znacznie więcej szkód ”.

Kanarek czerwony dyrektor wywiadu Katie Nickels powiedziała, że ​​ona również obserwowała działania związane z wykorzystywaniem ujawnionych luk w zabezpieczeniach, ale była też dobra wiadomość, że w tym przypadku aktywność poeksploatacyjna jest wysoce wykrywalna.

„Nigdy nie będziemy w stanie się zatrzymać zero dni, ale organizacje, które praktykują dogłębną obronę i utrzymują analizy behawioralne w celu ostrzegania o typowych atakach, powinny mieć pewność, że potrafią wykryć tę aktywność ”- powiedziała.

„Niektóre obserwowane przez nas działania wykorzystują powłokę sieciową China Chopper, która istnieje od ponad ośmiu lat, dając obrońcom wystarczająco dużo czasu na opracowanie logiki wykrywania. [And] chociaż nigdy nie możemy w pełni zapobiec wszelkiej eksploatacji, obrońcy mogą pracować nad skróceniem czasu potrzebnego do zidentyfikowania działań poeksploatacyjnych. Łapiąc go tak szybko, jak to możliwe, mogą powstrzymać przeciwników przed zdobyciem dodatkowego punktu zaczepienia w ich otoczeniu i spowodowaniem znacznych szkód ”- powiedziała.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Tylko dzisiaj samonagrzewający się kubek Ember Mug 2 jest przeceniony o prawie połowę

Bez kawy wielu z nas prawdopodobnie przestałoby istnieć. Jest to prawdopodobnie jedno z naszych najważniejszych narzędzi zwiększających produktywność, dlatego osobiście uważam, że...

Oto najlepsze etui M4 na iPada Pro zapewniające ochronę, styl i nie tylko

Nowy iPad Pro M4 firmy Apple to najdroższy iPad jaki kiedykolwiek stworzono, choć jego ultracienka i lekka konstrukcja jest tak piękna, istnieje duża...

Pobierz ChatGPT na Maca i pomiń listę oczekujących

OpenAI uruchomiło swój natywna aplikacja ChatGPT dla komputerów Mac w tym miesiącu obok GPT-4o. Chociaż każdy może zainstalować aplikację na Macu, Twoje...
Advertisment