Jak chránit Microsoft Exchange Server před zero-day útoky

Produkty Kaspersky detekují hrozbu a chrání před nedávno objevenými zranitelnými místy serveru Microsoft Exchange Server pomocí různých technologií, včetně modulů Behavior Detection a Exploit Prevention. Počet útoků roste - nejvíce zasažená je Evropa a USA.

Počátkem března 2021 došlo k mimořádnému zneužití několika zranitelných míst spojených se Zero-Day na Microsoft Exchange Serveru. Útočníci spustili kód v rámci Exchange Serveru, díky němuž získali plný přístup k e-mailovým účtům na serveru.

Společnost Microsoft již vydala opravu, ale analytici společnosti Kaspersky zaznamenali další nárůst útoků - zejména u organizací v Evropě a USA, které cílily na zneužití této chyby.

V České republice byly napadeny servery Magistrátu hlavního města Prahy a MPSV.

"Očekávali jsme, že pokusy o zneužití těchto zranitelných míst rychle porostou, zatím jsme podobný typ útoků detekovali ve více než stovce zemí, v podstatě po celém světě. S ohledem na typ těchto zranitelných míst je stále ohrožena řada organizací. I když počáteční útoky mohly být cílené, neexistuje důvod, aby se útočníci nezkoušeli zaměřit náhodně na jakoukoli organizaci, která provozuje tento server. Jejich akce jsou spojeny s vysokým rizikem krádeže dat nebo dokonce ransomwarem, a proto je třeba přijmout ochranná opatření co nejdříve," vysvětluje situaci Anton Ivanov, viceprezident pro výzkum hrozeb ve společnosti Kaspersky.

Od začátku března 2021 společnost Kaspersky detekovala podobné útoky na více než 1200 uživatelů, přičemž tento počet neustále rostl.

Podíl napadených uživatelů podle měření Kaspersky - březen 2021:

• Německo - 26,93%
• Itálie - 9,00%
• Rakousko - 5,72%
• Švýcarsko - 4,81%
• USA - 4,73%

Kaspersky spojuje útoky a související následky s těmito soubory:

• Exploit.Win32.CVE-2021-26857.gen
• HEUR:Backdoor.ASP.WebShell.gen
• HEUR:Exploit.Win32.CVE-2021-26857.a
• HEUR:Trojan.ASP.Webshell.gen
• PDM:Exploit.Win32.Generic
• UDS:DangerousObject.Multi.Generic

O útocích využívajících chyby zabezpečení Microsoft Exchange Server lze nalézt více informací na Securelist.com ve článku: Zero-day vulnerabilities in Microsoft Exchange Server.

K ochraně před těmito útoky Kaspersky doporučuje:

• Co nejdříve aktualizujte Microsoft Exchange Server!

• Zaměřte obrannou strategii na detekci pohybů dat v rámci sítě - věnujte zvláštní pozornost odchozímu provozu, abyste odhalili případnou nekalou aktivitu, pravidelně zálohujte data a ujistěte se, že k nim máte v případě nouze rychlý přístup

• Použijte řešení typu Kaspersky Endpoint Detection and Response a služby jako Kaspersky Managed Detection and Response, které pomáhají identifikovat a zastavit útok v raných fázích útoku.

• Použijte spolehlivé řešení zabezpečení koncových bodů, například Kaspersky Endpoint Security for Business (KESB), které se zaměřuje na prevenci zneužití, analýzu chování a obsahuje nápravný modul, který je schopen zvrátit škodlivé aktivity - KESB má také mechanismy vlastní obrany, které mohou zabránit jeho zablokování kybernetickými zločinci.

Článek KASPERSKY LAB CZECH REPUBLIC ze dne 10. března 2021 - středa

Další články od KASPERSKY LAB CZECH REPUBLIC