Homeland Security har erklært et pågående angrep mot Microsoft Exchange som en nødsituasjon. Angrepene, som startet tidligere denne uken, retter seg mot Microsoft Exchange-servere, og strenger sammen flere null-dagers utnyttelser for å få tilgang til sikre e-postkontoer.
Homeland Security: Attack er "uakseptabel risiko"
Homeland Security utstedt Nøddirektiv 21-02 sent 3. mars, og leverte litt bakgrunnsinformasjon om Microsoft Exchange-angrepet.
CISA-partnere har observert aktiv utnyttelse av sårbarheter i lokale Microsoft Exchange-produkter. Verken sårbarhetene eller den identifiserte utnyttelsesaktiviteten er for tiden kjent for å påvirke distribusjoner av Microsoft 365 eller Azure Cloud. Vellykket utnyttelse av disse sårbarhetene gir en angriper tilgang til lokale Exchange-servere, slik at de kan få vedvarende systemtilgang og kontroll over et bedriftsnettverk.
Direktivet forklarer deretter at et angrep av denne karakteren "utgjør en uakseptabel risiko for Federal Civilian Executive Branch-byråer og krever nødtiltak."
Homeland Security har satt en frist på 12 PM EST fredag 5. mars for at føderale byråer skal overholde analyse- og avbøtingsprotokollene som er angitt i direktivet.
Foreløpig må hvert byrå identifisere sine Microsoft Exchange-servere, fullføre en rettsmedisinsk triage av systemet minne, logger og registerutslett, og analyser deretter resultatene for indikatorer for legitimasjonstyveri eller annet kompromisser.
I slekt: De beste gratis alternativene til Microsoft Outlook
Hvem angriper Microsoft Exchange-servere?
Microsoft har pekt figuren rett ut mot en kinesisk nasjonalstat hacking gruppe kjent som HAFNIUM. Vanligvis tar selskaper litt lengre tid før de forplikter seg til å navngi en mistenkt, men Microsoft er ikke i tvil om at en "høyt dyktig og sofistikert aktør" står bak angrepet.
Microsoft Threat Intelligence Center (MSTIC) tilskriver denne kampanjen med stor tillit til HAFNIUM, en gruppe vurderes å være statsstøttet og operere ut av Kina, basert på observert victimology, taktikk og prosedyrer.
En del av årsaken til dette er at Microsoft Exchange-angrepet strenger sammen fire tidligere ukjente sårbarheter. Du kan lese detaljene på den offisielle Microsofts sikkerhetsblogg.
Microsoft bemerker også at de har observert HAFNIUM samhandler med sin Microsoft Office 365-pakke, og søker etter sårbarheter. Det bekreftet også at dette angrepet ikke har noe forhold til SolarWinds, den enorme nettangrepet som rammet flere amerikanske regjeringsbyråer, sammen med flere ledende teknologiselskaper.
I slekt: Microsoft avslører faktisk mål for SolarWinds nettangrep
Den gode nyheten er at mens disse angrepene pågår og utgjør en betydelig trussel mot Microsoft Exchange-servere, Microsofts sikkerhetsteam har allerede rullet ut en serie oppdateringer for å redusere sårbarheter.
Du finner mer informasjon om Microsoft Exchange Server-oppdateringer på Microsoft Tech Community-nettsted, inkludert hvordan du laster ned og installerer oppdateringene, samt hvordan du skanner Exchange-serverne dine for tegn på kompromiss.
Microsoft Defender er Windows 10 innebygd sikkerhetsverktøy. Gjør det enda bedre med disse 6 enkle sikkerhetsforbedringene.
- Sikkerhet
- Tekniske nyheter
- Microsoft Exchange
Gavin er Junior Editor for Windows og Technology Explained, en vanlig bidragsyter til den virkelig nyttige podcasten, og var redaktør for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) moderne skriving med digital kunstutøvelse plyndret fra åsene i Devon, samt over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.