Киберразведка

Ландшафт уязвимых серверов Microsoft Exchange. Уникальная статистика RiskIQ

Подвержены ли вы атакам на Microsoft Exchange?

Компания RiskIQ, эксклюзивный партнер Microsoft по мониторингу инцидента с Microsoft Exchange, предлагает компаниям узнать, остались ли у них публично доступные непропатченные серверы Microsoft Exchange, а также другие сервисы, потенциально подверженные атакам.

Заполните форму по ссылке, чтобы запланировать консультацию и получить отчет о защищенности.

Новая уязвимость Microsoft Exchange

Прошло всего четыре месяца после обнаружения атаки на SolarWinds, которая, по мнению аналитиков, войдет в учебники в качестве примера того, к каким результатам могут привести уязвимости. Однако уже сейчас приходится иметь дело с новой атакой, которая по своим масштабам превосходит SunBurst.

Эта новая атака была впервые реализована группировкой по кибершпионажу Hafnium, но по данным департамента исследований ESET Research, не менее 10 APT-группировок уже эксплуатировали уязвимости сервера Microsoft Exchange. Сейчас все больше злоумышленников включаются в этот процесс, и, как сообщают некоторые организации, эти уязвимости также используются для атак с помощью программ-вымогателей. 

Из-за распространенности серверов Microsoft Exchange среди организаций по всему миру, истинные масштабы этого инцидента выходят далеко за рамки вопросов информационной безопасности. На самом деле, здесь встает вопрос работы с большими данными.  

RiskIQ более десяти лет непрерывно собирает данные Интернета, чтобы решать такие проблемы. Технология RiskIQ предназначена для помощи службам ИБ, позволяя им справляться с глобальными инцидентами, а также анализировать поверхность атаки как на уровне отдельных организаций, так и глобального Интернета. В настоящий момент специалисты RiskIQ работают сверхурочно, анализируя масштаб этой уязвимости, а также помогая организациям определить подверженность этой уязвимости и выбрать оптимальный вариант реагирования.

Масштаб уязвимости Microsoft Exchange

На текущий момент, RiskIQ работает в партнерстве с Microsoft, чтобы помочь компании лучше понять масштаб проблемы и ход ее решения по мере патчинга систем. 2 марта 2021 года RiskIQ сообщил Microsoft, что нужно обновить 400.000 локальных серверов Exchange. Это число снизилось почти до 100.000 серверов после выпуска первого пакета обновлений от Microsoft.

11 марта компанией RiskIQ было обнаружено 82.731 уязвимых серверов Microsoft Exchange по всему миру — это на 9.341 сервер меньше, чем было 10 марта (92.072 сервера). 

  • Из оставшихся неисправленных версий сервера Exchange версия 2016 года остается наиболее уязвимой.
  • Что касается серверов, для которых доступны исправления, на версиях Exchange 2013 и 2016 до сих пор не установлены обновления безопасности Microsoft. 
  • Последняя сборка версии Exchange 2013 была обнаружена на 6.000 неисправленных серверах.
  • Оперативный анализ данных RiskIQ показывает, что среди пострадавших оказалось не менее 312 банков, 335 организаций здравоохранения, 105 фармацевтических компаний, а также 153 сервера с доменным именем .gov.

Платформа RiskIQ позволяет увидеть в подробностях, где находятся сервера Microsoft Exchange по всему миру, тщательно собирая ключевые географические инсайты. Вот некоторые из них:

  • Россия на шестом месте с 3.205 уязвимых серверов, что в полтора раза больше, чем в Китае;
  • в США находится больше всего уязвимых серверов Exchange, составляя 23% от их общего числа;
  • в Германии, несмотря на размер страны, насчитывается 13% всех уязвимых серверов в мире. Более того, Германия лидирует по общему количеству неисправленных сборок накопительных обновлений версии Exchange 2016, в сумме это 18 серверов.

Ниже представлена наглядная информация об уязвимых серверах, структурированная на основе их географического положения:

Медленная реакция компаний по всему миру

Хотя количество уязвимых серверов уменьшается, это происходит недостаточно быстро. Если в ваш сервер Exchange не внесены исправления, и он имеет доступ в Интернет, то скорее всего, ваша организация уже взломана.

Первая причина, по которой на эту проблему так медленно реагируют: многие организации могут не осознавать, что их Exchange-серверы имеют доступ в Интернет. Это типичная проблема, которую выявляют новые клиентов RiskIQ. Вторая причина: новые патчи выходят каждый день, но многие серверы не поддерживают их или требуют обновления версии, что является сложным процессом, поэтому, скорее всего, это подтолкнет многие организации перенести свою электронную почту в облако.

3 марта 2021 года агентство CISA Департамента внутренней безопасности США выпустило чрезвычайную директиву 21-02, в которой содержатся инструкции для государственных структур по борьбе с этими уязвимостями. Microsoft также выпустил патчи для защиты серверов Exchange от атак нулевого дня, но они не помогут, если организация уже скомпрометирована. Не ждите — установите патчи прямо сейчас на все локальные сервера Exchange.

Что делает RiskIQ в связи с инцидентом

Этот инцидент невероятного масштаба требует скоординированных совместных усилий. Благодаря уникальной возможности наблюдения за ландшафтом серверов Microsoft Exchange компания RiskIQ работает над программой массового оповещения и реагирования на инциденты с организациями любого размера: команды CERT, центры обмена данными об угрозах, государственные органы, банки, интернет-провайдеры, сфера здравоохранения и фармацевтики. 

На основе автоматизации, RiskIQ отработал проблему с более чем 83.000 владельцев уязвимых серверов Exchange, и будет работать каждый день до тех пор, пока эта проблема не решится полностью. RiskIQ также продолжит ежедневно докладывать о количестве уязвимых серверов, предоставлять статистику и выявлять тенденции.

Ресурсы RiskIQ

RiskIQ использует действующие автоматизированные системы для оповещения тысяч организаций, которые пострадали от атаки. Компания работает совместно с сообществом ИБ, чтобы предоставить необходимые ресурсы и возможности для реагирования на инциденты.  

Недавно на своем сайте RiskIQ запустила информационный портал Microsoft Exchange, где доступна детальная информация об этой атаке и о том, как понять, что вы пострадали, и какие меры предпринять. Клиенты RiskIQ могут посмотреть инструкции здесь.

Любой сетевой провайдер или оператор автономных систем (AS) может бесплатно подписаться на общественные программы RiskIQ, чтобы использовать технологию компании для обнаружения проблемы и защиты своих клиентов.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/