Новости Microsoft упрашивает сисадминов отключить древний протокол, чтобы не пустить на ПК шифровальщика, нападавшего на госорганы

[Филин]

Microsoft призывает администраторов Exchange отказаться от использования давным-давно устаревшего протокола SMBv1, чтобы избежать заражения Emotet, Trickbot и особенно известного в российских госорганах WannaCry.
Древний протокол
Microsoft в очередной раз порекомендовала администраторам серверов Exchange отключить поддержку протокола SMBv1, чтобы застраховаться от кибератак. Речь идет, в первую очередь, об атаках троянцев TrickBot, Emotet и WannaCry.
Напомним, масштабная эпидемия последнего из них разразилась в мае 2017 г. WannaCry требовал выкуп за расшифровку информации в биткойнах. Вирус действовал по всему миру, но наибольшие последствия от его деятельности были отмечены в России: он поразил компьютеры МВД, Следственного комитета, Минздрава, МЧС, «Мегафона», Yota и других организаций.
SMBv1 — старый сетевой протокол для предоставления общего доступа к файлам, принтерам и серийным портам. В нем реализован также механизм авторизованного обмена данными между процессами. Протоколу уже почти 30 лет, он полон уязвимостей и, тем не менее, им до сих пор пользуются.
Microsoft присвоил протоколу статус deprecated (нерекомендуемый) в 2014 г., а с 2016 г. настоятельно рекомендует прекратить его использование. В более поздних версиях протокола реализованы многочисленные защитные механизмы, в том числе шифрование, проверка целостности данных перед авторизацией и другие, нацеленные на предотвращение MiTM-атак.
В 2017 г. Shadow Brokers опубликовали большое количество эксплойтов, использовавшихся в разведывательных целях Агентством нацбезопасности США. Большая их часть была нацелена именно на Windows, и некоторые использовали как раз слабые места SMBv1. Среди них — печально известные EternalBlue и EternalRomance, эксплойты, задействованные в таких вредоносах как вызвавший глобальную эпидемию WannaCry, а также Emotet, TrickBot, Retefe, NotPetya и Olympic Destroyer. Эти программы до сих пор весьма распространены и причиняют немало проблем.
В Windows 10 и Windows Server с версии 1709 SMBv1 не устанавливается вообще, вместо него используется SMBv3. Но он до сих пор встречается в Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2.
В выпущенной тематической публикации Microsoft подробно разъясняется, в чем заключаются основные проблемы SMBv1 и пошаговая инструкция по его отключению в разных операционных системах.
Зачем он нужен?
«В использовании протокола SMBv1 почти 30-летней давности нет никакой необходимости, если в вашей системе установлены Exchange 2013/2016/2019. SMBv1 небезопасен, и вы теряете ключевые преимущества в защите более поздних версий SMB», — говорится в публикации Microsoft.

«Призывы отказаться от старых протоколов раздаются регулярно, и столь же регулярно игнорируются, — указывает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Очевидно, что вычистить полностью SMBv1 в ближайшие годы не удастся, скорее всего, он уйдет естественным образом, по мере выхода из употребления ПО, в котором он все еще поддерживается. Атаки на SMBv1, скорее всего, ускорят процесс, но вряд ли сильно. Хотя по большому счету, не помешала бы массовая кампания по избавлению от этого протокола».

 

[fan7777]

Около 40 российских компаний подверглись атакам со стороны хакеров, использующих уязвимости в программном обеспечении (ПО) Exchange Server корпорации Microsoft. Об этом в воскресенье, 7 марта, сообщили «Известиям» в пресс-службе «Лаборатории Касперского».

Там напомнили, что компания Microsoft сообщила о серии атак, использующих новые уязвимости в Microsoft Exchange Server, 2 марта.

«В течение последней недели эксперты «Лаборатории Касперского» фиксируют рост количества попыток эксплуатации этих уязвимостей для проникновения в корпоративные сети с целью кражи конфиденциальных данных, а также, вполне вероятно, использования шифровальщиков. В России атаковано уже около 40 компаний», — отметили в пресс-службе.

В «Лаборатории Касперского» объяснили, что эти уязвимости позволяют злоумышленникам получить доступ к любым почтовым аккаунтам на Microsoft Exchange Server, а также установить на нем вредоносное ПО, чтобы закрепиться на «уязвимой машине» или в дальнейшем в Сети.

Как предполагается, причастные к этим атакам после появления информации об уязвимостях и выпуска исправлений от Microsoft начали массовые заражения Exchange-серверов по всему миру, чтобы получить доступ в как можно большее число организаций, который они, возможно, будут потом использовать для достижения уже более конкретных целей.

Для защиты от таких атак в «Лаборатории Касперского» компаниям посоветовали установить обновление от Microsoft, использовать защитные решения с функциями «Анализ поведения» и «Защита от эксплойтов». В случае атаки необходимо обратиться к специалистам.

Агентство Bloomberg 6 марта опубликовало статью, в которой со ссылкой на источник сообщило о том, что по меньшей мере 60 тыс. организаций по всему миру подверглись взлому из-за уязвимости в программном обеспечении Microsoft. Автор публикации указывал, что в случае, если рост числа жертв кибератаки продолжится, инцидент можно будет приравнять к мировому кризису в сфере кибербезопасности.

Комментируя эту статью, эксперт по информационной безопасности Алексей Лукацкий заявил «Известиям», что не считает произошедшую ситуацию глобальным кризисом кибербезопасности. Специалист также порекомендовал обновить программное обеспечение Microsoft Exchange, которое подвержено проблеме, и установить необходимые «заплатки».

Ранее в воскресенье стало известно, что в Белом доме намерены создать специальную группу для реагирования на киберпреступления, после того как было взломано более 30 тыс. электронных почтовых ящиков американских организаций, пользующихся в своей работе продуктами Microsoft. Во взломе американская сторона подозревает китайских хакеров.

После хакерской атаки Агентство по кибербезопасности и защите инфраструктуры (CISA) издало экстренную директиву, согласно которой все гражданские агентства и департаменты США должны «применить исправления или отключить Microsoft Exchange от своих сетей и искать альтернативу».

 

[fan7777]

6 марта 2021 года Microsoft обновила утилиту Safety Scanner. Последняя версия автономного инструмента безопасности Microsoft Support Emergency Response Tool (MSERT) может обнаруживать зловредные веб-оболочки (средства удаленного доступа, Web Shell), установленные злоумышленниками внутри почтовых серверов компаний в рамках недавней (и еще продолжающейся на непропатченные Exchange Server 2013/2016/2019) сетевой атаки на сотни тысяч серверов Exchange по всему миру. Для ее проведения хакеры использовали цепочку уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).

С помощью веб-оболочек злоумышленники могут контролировать почтовые сервера Microsoft Exchange Server и получать доступ к внутренней сети пострадавших от атаки компаний.
Microsoft пояснила, что сделала эти обновления для MSERT, чтобы организации, которые не используют защитную систему Microsoft Defender, могли также оперативно проверить свои почтовые сервера в автономном режиме на взлом. MSERT использует сигнатуры Microsoft Defender для сканирования и удаления обнаруженных вредоносных программ.

В начале марта Microsoft обновила сигнатуры Microsoft Defender, сканирование этой утилитой зараженных систем может обнаружить следующие зловредные веб-оболочки и зловреды, связанные с проблемой ProxyLogon: Exmann.A!dha, Exmann.A, SecChecker.A, JS/Webshell, JS/Chopper!dha, umpLsass.A!attk и TwoFaceVar.B.

Microsoft напомнила, что MSERT — это сканер по требованию, который не обеспечивает защиты в реальном времени. Поэтому его следует использовать только для точечного сканирования и не полагаться, как на полноценную антивирусную программу.

Кроме того, MSERT автоматически удаляет все обнаруженные зловредные файлы и не помещает их в карантин. В том случае, если системному администратору необходимо сохранить обнаруженные файлы, то не стоит использовать MSERT, а вместо этого нужно задействовать специальные скрипты PowerShell от Microsoft "Test-ProxyLogon.ps1" и других компаний, например, CERT Latvia.

Ранее Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon

Microsoft также настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:

• Exchange Server 2019 < 15.02.0792.010;
• Exchange Server 2019 < 15.02.0721.013;
• Exchange Server 2016 < 15.01.2106.013;
• Exchange Server 2013 < 15.00.1497.012.

Microsoft пояснила, что это необходимо сделать, так как в настоящее время фиксируются активные попытки эксплуатации данных уязвимостей на объектах, принадлежащих как государственным, так и коммерческим компаниям по всему миру.

7 марта издание Bloomberg сообщило, что из-за серьезных уязвимостех в программном обеспечении Microsoft для почтовых серверов может возникнуть глобальный IT-кризис в области безопасности, так как хакеры продолжают заражать сервера по всему миру, а Microsoft не может защитить своих клиентов. Тем более, что в настоящее время только 10 % от работающих систем пропатчено до последних версий.