Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) wydało ostrzeżenie alarmowe wzywające tysiące zagrożonych organizacji w całym kraju do natychmiastowej aktualizacji lokalnych serwerów Microsoft Exchange w trybie pilnym, śledzenie ujawnień i wykorzystywania ProxyLogon.
W świetle rosnącej liczby grup zaawansowanych trwałych zagrożeń (APT) i innych złośliwych podmiotów wykorzystujących luki, w tym ograniczona liczba operatorów ransomware cyberprzestępców, NCSC opublikowało nowe wytyczne, aby pomóc wrażliwym organizacjom zmniejszyć ryzyko infekcji ransomware i innych infekcji złośliwym oprogramowaniem.
„Ściśle współpracujemy z branżą i partnerami międzynarodowymi, aby zrozumieć skalę i wpływ ekspozycji w Wielkiej Brytanii, ale ważne jest, aby wszystkie organizacje podjęły natychmiastowe kroki w celu ochrony swoich sieci” – powiedział dyrektor operacyjny NCSC Paul Chichester.
„Podczas gdy ta praca jest w toku, najważniejszą czynnością jest zainstalowanie najnowszych aktualizacji firmy Microsoft. Organizacje również powinny być wrażliwe na zagrożenie ze strony oprogramowania ransomware i zapoznaj się z naszymi wskazówkami. Wszelkie incydenty mające wpływ na organizacje brytyjskie powinny być zgłaszane NCSC ”- powiedział.
Należy zauważyć, że zainstalowanie poprawek Microsoftu powstrzyma tylko przyszłe kompromisy, a nie takie, które już miały miejsce, dlatego też ważne jest, aby przeskanować systemy i sieci pod kątem wszelkich oznak włamań, w szczególności webshellów wdrożonych za pośrednictwem łańcucha exploitów. Microsoft Safety Scanner może pomóc w ich wykryciu.
NCSC oszacowało liczbę podatnych na ataki serwerów w Wielkiej Brytanii na 7 000–8 000, z czego około połowa została już załatana. Skany przeprowadzone przez Palo Alto Networks w ostatnich dniach sugeruje się, że wskaźniki poprawek są rzeczywiście wysokie – firma twierdziła, że liczba podatnych na ataki serwerów ze starymi wersjami Exchange, które nie mogą bezpośrednio nakładać łat, spadła o 30% między 8 a 11 marca.
NCSC intensywnie współpracuje z rządem oraz organizacjami sektora publicznego i prywatnego, aby rozpowszechniać informacje i jest zrozumiałe, że już aktywnie skontaktowało się z wieloma wrażliwymi organizacjami.
Jednak wraz z rozszerzeniem wykorzystania ProxyLogon poza podmioty wspierane przez państwo, staje się jasne, że organizacje, które początkowo mogły nie uważać się za zagrożone, są w niebezpieczeństwie.
Poza NCSC, dostępne są wskazówki firmy Microsoft dotyczące poprawiania, a także środki zaradcze – na których absolutnie nie można polegać w dłuższej perspektywie.
W przypadku organizacji, które nie mogą ani zainstalować poprawki, ani zastosować zalecanych środków zaradczych, NCSC zaleca natychmiastowe odizolowanie serwera Exchange od Internetu poprzez blokowanie niezaufanych połączeń z portem 443, a jeśli jest dostępne bezpieczne rozwiązanie do zdalnego dostępu, takie jak VPN, skonfigurowanie Exchange być dostępne tylko za pośrednictwem tego rozwiązania. Ponownie, są to tymczasowe poprawki, na których nie można polegać.
Joe Hancock, szef MDR cyber w kancelarii Mishcon de Reya, skomentował: „W ciągu kilku godzin od uwolnienia luki stało się jasne, że jest ona aktywnie wykorzystywana na dużą skalę. Widzieliśmy dowody ciągłych powtarzających się ataków, a napastnicy podążali za napastnikami, aby sprawdzić, czy zakończyły się one sukcesem.
„Jest prawdopodobne, że pod względem liczby ofiar jest to wierzchołek góry lodowej, a najgorsze skutki tego ataku prawdopodobnie nadejdą. Znaczna część działań związanych z czyszczeniem polega nie tylko na łataniu systemów lub usuwaniu plików przed atakującym, ponieważ po wykorzystaniu istnieje również potrzeba zbadania, co zrobił atakujący i jakie informacje mają teraz. Nawet bez aktywnego namierzania organizacje będą musiały ponieść koszty zarządzania ich potencjalną podatnością ”- powiedział Hancock.
„Zgodnie z oczekiwaniami, grupy ransomware już wcześniej wykorzystywały te luki w celu uzyskania korzyści finansowych. Ta ciągła głośna działalność prawdopodobnie zwiększy presję na zachodnie rządy, aby zareagowały, biorąc pod uwagę szeroko zgłaszane początkowe powiązania z Chinami ”.