Správa: 92 percent serverov Microsoft Exchange je teraz chránených pred serverom ProxyLogon

Spoločnosť Microsoft uvádza, že asi 92 percent všetkých serverov Microsoft Exchange je teraz aktualizovaných a chránených proti zraniteľnosti ProxyLogon, ktorá sužovala službu - a bezpečnostné výskumné a reakčné tímy - týždňov.

Počet neopravených serverov Microsoft Exchange je na úrovni okolo 30 000, z maxima okolo 400 000.

Obrovské zníženie zraniteľných serverov Microsoft Exchange

Presný celkový počet zraniteľných serverov Microsoft Exchange nie je známy.

Avšak 2. marca, keď spoločnosť Microsoft vydala svoju prvú sadu bezpečnostných opráv, bolo okolo 400 000 serverov Exchange zraniteľných chybou ProxyLogon. Týždeň po zavedení a implementácii bezpečnostných opráv 9. marca klesol tento počet na zhruba 100 000 neopravených serverov.

Posledná správa spoločnosti Microsoft teraz naznačuje, že v nej zostáva menej ako 30 000 zraniteľných serverov Exchange.

Od tohto tweetu je pravdepodobné, že sa počet ešte znížil.

Spoločnosť Microsoft prijala značné kroky k ochrane zraniteľných serverov Microsoft Exchange tvárou v tvár dlhotrvajúcej chybe ProxyLogon. Napríklad nástroj Exchange On-Premises Mitigation Tool (EOMT) je oprava ProxyLogon jedným kliknutím nástroj, ktorý zákazníkom služby Microsoft Exchange Server uľahčuje rýchle zabezpečenie infraštruktúry.

Súvisiace: Spoločnosť Microsoft uvádza na trh opravu servera Exchange jedným kliknutím

Microsoft tiež pridal nástroj na automatickú opravu Microsoft Defender. Podľa príspevku na internete oficiálny blog spoločnosti Microsoft Securityzákazníci používajúci Microsoft Defender Antivirus a System Center Endpoint Protection „automaticky zmierniť CVE-2021-26855 na akomkoľvek zraniteľnom serveri Exchange, na ktorom je nasadený. ​​“

Súvisiace: Program Microsoft Defender teraz môže automaticky zabrániť zneužitiu servera Exchange

Je to koniec ProxyLogonu?

ProxyLogon predstavuje vážny problém pre zákazníkov servera Microsoft Exchange Server. Útok zasiahol desaťtisíce serverov, ktoré pokrývali podniky všetkých tvarov a veľkostí.

Zraniteľnosť ProxyLogon spojila štyri zneužitia nulového dňa na útok na servery Microsoft Exchange. Po odhalení tejto zraniteľnosti viaceré odvetvia po celom svete hlásili nárast útokov pomocou servera Microsoft Exchange Server zákazníci nahlasujúci malvér na ťažbu kryptomeny, rôzne druhy ransomvéru, webové škrupiny a ďalšie, ktoré všetky nasadzujú škodlivé programy večierkov.

An Blogový príspevok spoločnosti ESET Research zistil, že servery Microsoft Exchange boli napadnuté „najmenej 10 skupinami APT [Advanced Persistent Threat]“, z ktorých všetky sa snažili túto zraniteľnosť využiť.

Všimli sme si, že zraniteľnosti boli použité ďalšími aktérmi hrozieb, počnúc Tickom a rýchlo sa k nim pridali LuckyMouse, Calypso a Winnti Group. To naznačuje, že viacerí aktéri hrozieb získali prístup k podrobnostiam o slabých miestach pred vydaním opravu, čo znamená, že môžeme zahodiť možnosť, že vytvorili exploit pomocou reverzného inžinierstva Microsoftu aktualizácie.

Zraniteľnosť ProxyLogon ešte nie je ukončená. Stále existuje viac ako 20 000 zraniteľných serverov Microsoft Exchange, ale zákazníci aj bezpečnostné firmy budú dúfať, že koniec je v nedohľadne.

Domáca bezpečnosť vyhlasuje Microsoft Exchange Attack za „núdzový“

Microsoft pripája útok na aktéra ohrozenia z národného štátu.

Prečítajte si Ďalej

O autorovi