Служба реагирования на компьютерные инциденты KZ-CERT АО «Государственная техническая служба» сообщает, что в ходе мониторинга казахстанского сегмента Интернета на наличие угроз информационной безопасности были обнаружены ряд почтовых серверов на базе Microsoft Exchange, подверженных уязвимости ProxyShell, сообщает kazlenta.kz со ссылкой на пресс-службу ведомства.
Напомним, ранее на конференции Black Hat в августе текущего года были предоставлены технические подробности и опубликована информация об активном сканировании злоумышленниками на наличие хостов с уязвимостью удаленного выполнения кода Microsoft Exchange ProxyShell в Интернете.
ProxyShell – общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Эти связанные уязвимости используются удаленной эксплуатацией ProxyShell через Client Access Service (CAS), запущенной на порту 443 в Internet Information Services (IIS).
Данная уязвимость позволяет злоумышленникам автоматически настраивать собственную конфигурацию при минимальном взаимодействии с пользователем для проникновения в корпоративные сети компаний, к тому же злоумышленники могут завладеть конфиденциальной информаций запустив вымогатель, которой уже может применять эксплоит для ProxyShell.
По информации экспертов Huntress Labs., на данный момент в мире от атак с использованием эксплоита для ProxyShell уже пострадали ряд строительных компаний, предприятия по переработке морепродуктов, промышленное оборудование, автомастерские, небольшой аэропорт и многие другие.
Службой KZ-CERT были проведены мероприятия по уведомлению владельцев серверов на территории Казахстана, которые подвержены уязвимости ProxyShell.
Чтобы не стать жертвой злоумышленников эксперты KZ-CERT рекомендуют:
· Для выявления сканирования веб-сервера Microsoft Exchange рекомендуется проверить журнал IIS (Internet Information Server) с использованием Azure Sentinel на наличие строк «/autodiscover/autodiscover.json» или «/mapi/nspi/». Обнаружение в результатах целевого URL-адреса говорит о сканировании злоумышленниками сервера на предмет уязвимости;
· Ограничить публичный доступ к веб-версии Microsoft Exchange извне, настроив «белый» список доверенных IP-адресов;
· Незамедлительно применить актуальные обновления безопасности Microsoft Exchange;
· Своевременно устанавливать обновления безопасности.