Корпорация Майкрософт выпустила обновления безопасности для своего локального почтового сервера Exchange, которые следует принять во внимание предприятиям.
Обновления безопасности предназначены для устранения недостатков в Exchange Server 2013, 2016 и 2019 — локальных версиях Exchange, которые ранее в этом году были взломаны поддерживаемой Пекином хакерской группой, которую Microsoft называет Hafnium. Были использованы четыре уязвимости в программном обеспечении локального сервера Exchange, и теперь Microsoft предупредила, что одна недавно исправленная уязвимость, отслеживаемая как CVE-2021-42321, также подвергается атаке.
Обновления безопасности Exchange были выпущены как часть обновлений Microsoft Patch Tuesday за ноябрь 2021 года для Windows, браузера Edge, пакета Office и других программных продуктов.
«Ошибка Exchange CVE-2021-42321 является» уязвимостью после аутентификации в Exchange 2016 и 2019. Мы рекомендуем установить эти обновления немедленно для защиты вашей среде », — говорится в сообщении Microsoft в блоге о новых ошибках Exchange.
« Эти уязвимости затрагивают локальный сервер Microsoft Exchange Server, включая серверы, используемые клиентами в гибридном режиме Exchange. «Клиенты Exchange Online уже защищены, и им не нужно предпринимать никаких действий», — отмечает Microsoft.
Атаки, которые затрагивают пользователей после аутентификации, опасны, поскольку они затрагивают пользователей, которые прошли аутентификацию с использованием законных, но украденных учетных данных. Некоторые пост-аутентификации атаки могут сделать двухфакторную аутентификацию бесполезной, поскольку вредоносное ПО выполняет свою задачу после того, как человек прошел аутентификацию с помощью второго фактора.
Злоумышленники из Китая получили доступ к серверам Exchange через четыре ошибки или украденные учетные данные, что позволило им создать веб-оболочки — интерфейс командной строки — для удаленного взаимодействия с зараженным компьютером. Веб-оболочки удобны для злоумышленников, поскольку они могут выжить в системе после исправления и должны быть удалены вручную.
Злоумышленники обычно используют учетные данные администратора для запуска вредоносного ПО, но они также используют соединения, не защищенные VPN. Или же они сами атакуют VPN.
Microsoft предоставляет подробные инструкции по обновлению, которым должны следовать администраторы Exchange, включая обновление соответствующих накопительных обновлений (CU) для Exchange Server 2013, 2016 и 2019.
Компания предупреждает, что администраторы должны выполнить обновление до один из поддерживаемых CU: он не будет предоставлять обновления для неподдерживаемых CU, которые не смогут установить ноябрьские обновления безопасности.
Microsoft подтвердила, что двухфакторная аутентификация (2fa) не обязательно защитит от злоумышленников, использующих новые недостатки Exchange, особенно если учетная запись уже была взломана.
«Если авторизация прошла успешно (двухфакторная аутентификация или нет), CVE-2021-42321 может быть уязвимой», — говорит менеджер программы Microsoft Нино Билич.
«Но действительно, двухфакторная аутентификация может затруднить прохождение аутентификации, поэтому в этом отношении она может« помочь ». Но допустим, если есть учетная запись с двухфакторной аутентификацией, которая была взломана — ну, в этом в случае, если бы это не имело значения », — добавляет Билич.
Для обнаружения компрометации Microsoft рекомендует запустить запрос PowerShell на вашем сервере Exchange, чтобы проверить наличие определенных событий в журнале событий:
Get-EventLog -LogName Application -Source "MSExchange Common "-EntryType Error | Where-Object {$ _. Message-like "* BinaryFormatter.Deserialize *"}