Nástroj na uvoľnenie od spoločnosti Microsoft, ktorý vám pomôže zistiť, či váš server Exchange bol napadnutý Hafnium

Séria nedostatkov v samostatných inštaláciách servera Microsoft Exchange zaznamenala niekoľko stoviek tisíc inštalácií servera Exchange, ktoré boli napadnuté čínskou hackerskou skupinou Hafnium.

Krebs o bezpečnosti informuje že bol infikovaný značný počet malých podnikov, miest, miest a miestnych samospráv, pričom hackeri za sebou zanechali webovú schránku na ďalšie velenie a kontrolu.

Spoločnosť Microsoft dnes vydala nové nástroje a pokyny, ktoré pomôžu správcom serverov odhaliť a zmierniť hrozbu.

Spoločnosť Microsoft vydala aktualizáciu pre svoj bezplatný server Exchange Indikátory nástroja kompromisu ktoré možno použiť na skenovanie protokolových súborov servera Exchange, aby ste zistili, či nie sú ohrozené.

Microsoft tiež uvoľnený núdzové alternatívne pokyny na zmiernenie pre správcov, ktorí nie sú schopní použiť mimopásmové aktualizácie Microsoft vydal už 2. marca. Najúčinnejšou prevenciou však zostáva aplikácia opráv, hoci ak je váš server infikovaný, úplná náprava bude oveľa väčšou úlohou.

„Doteraz sme pracovali na desiatkach prípadov, keď boli webové shelly umiestnené na systém obetí 28. februára [predtým, než Microsoft oznámil svoje záplaty], až do dnešného dňa,“ povedal prezident Volexity Steven Adair, ktorý objavil útok . „Aj keď ste opravili v ten istý deň, keď Microsoft svoje záplaty zverejnil, stále existuje vysoká šanca, že na vašom serveri je webový shell. Pravdou je, že ak používate Exchange a ešte ste to neopravili, je veľmi vysoká šanca, že vaša organizácia je už ohrozená.“

„Najlepšou ochranou je čo najskôr aplikovať aktualizácie na všetky ovplyvnené systémy,“ uviedol hovorca Microsoftu v písomnom vyhlásení. „Naďalej pomáhame zákazníkom poskytovaním dodatočného vyšetrovania a usmernení na zmiernenie následkov. Zákazníci, ktorých sa to týka, by mali kontaktovať naše tímy podpory so žiadosťou o ďalšiu pomoc a zdroje.“

via BreakingDefence