JavaScript отключён. Чтобы полноценно использовать наш сайт, включите JavaScript в своём браузере.

Ответить в теме

Сообщение: [QUOTE="Candellmans, post: 300324, member: 10598"] [HEADING=2][/HEADING] [IMG]https://habrastorage.org/webt/i2/lz/rf/i2lzrfvpfhivdfn67tbqpua8iac.png[/IMG] 6 марта 2021 года Microsoft выложила на GitHub [URL='https://github.com/microsoft/CSS-Exchange/tree/main/Security']скрипт для проверки[/URL] факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). В настоящее время только 10 % от работающих систем пропатчено от этих четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA). Microsoft настоятельно рекомендует проверить вручную и [URL='https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901']установить последние обновления[/URL] безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска: [LIST] [*]Exchange Server 2019 < 15.02.0792.010; [*]Exchange Server 2019 < 15.02.0721.013; [*]Exchange Server 2016 < 15.01.2106.013; [*]Exchange Server 2013 < 15.00.1497.012. [/LIST] Команда разработчиков DEVCORE, специалисты которой первыми обнаружили проблемы, запустила информационный портал об уязвимости [URL='https://proxylogon.com/']ProxyLogon[/URL], которой в итоге оказались подвержены сотни тысяч серверов Exchange по всему миру. В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании. Скрипт для автоматической проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows. Ранее [URL='https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/']были доступны[/URL] отдельные команды для понимания проблемы. Microsoft выложила скрипт под названием "[URL='https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1']Test-ProxyLogon.ps[/URL]1" в свой [URL='https://github.com/microsoft/CSS-Exchange/blob/main/Security/Test-ProxyLogon.ps1']репозиторий на GitHub[/URL]. С его помощью можно автоматизировать проверку почтового сервера на взлом. Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs. Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs. Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1. Вдобавок Microsoft опубликовала еще один скрипт — "[URL='https://github.com/microsoft/CSS-Exchange/releases/latest/download/BackendCookieMitigation.ps1']BackendCookieMitigation.ps1[/URL]", который отфильтровывает https-запросы, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана. Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом. Дополнительные сведения см. В комментариях вверху сценария. [MEDIA=youtube]SvjGMo9aMwE[/MEDIA] [I]Пример использования уязвимостей связки ProxyLogon на серверах Exchange.[/I] «В России атаковано уже около 40 компаний. Данные уязвимости позволяют злоумышленникам получить доступ к любым почтовым аккаунтам на Microsoft Exchange Server, а также установить на нём вредоносное программное обеспечение, чтобы закрепиться на уязвимой машине или в дальнейшем в сети», — [URL='https://www.interfax.ru/russia/754921']сказано[/URL] в заявлении «Лаборатории Касперского» изданию «Интерфакс». Национальный координационный центр по компьютерным инцидентам России (НКЦКИ, создан ФСБ) [URL='https://safe-surf.ru/specialists/news/662076/']выпустил[/URL] специальные рекомендации для руководителей и владельцев объектов критической информационной инфраструктуры РФ о необходимости незамедлительного обновления обновить Microsoft Exchange Server. 2 марта Microsoft [URL='https://habr.com/ru/company/solarsecurity/news/t/545162/']сообщила[/URL] о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных. 3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) [URL='https://habr.com/ru/news/t/545586/']выпустило[/URL] экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server. 5 марта Reuters [URL='https://www.reuters.com/article/idUSKBN2AX07R']сообщило[/URL], что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server. Хабр [/QUOTE]

Проверка