- Porównanie
- Ćwiczenia
- Microsoft ostrzega, że nawet załatane serwery Exchange mogą zostać zaatakowane
Analiza przeprowadzona przez Microsoft serii ataków wykorzystujących załatane już luki dnia zerowego w serwerach Exchange pokazuje, że zagrożenia nie można zatrzymać po prostu poprzez zastosowanie łat. Sponsorowany przez państwo chiński ugrupowanie cyberprzestępcze Hafnium został oskarżony o to, że jako pierwszy wykorzystał luki w zabezpieczeniach znane jako luki w zabezpieczeniach ProxyLogon. Narzędzia takie jak narzędzie One-Click firmy Microsoft pomogły usunąć luki w ponad 90% serwerów, w tym wielu w małych firmach, w których brakuje wyspecjalizowanych zespołów IT i ds. bezpieczeństwa. Jednak zagrożenie jeszcze się nie skończyło. „Wiele zaatakowanych systemów nie zostało jeszcze poddanych dodatkowym działaniom, takim jak ataki ransomware spowodowane przez człowieka lub eksfiltracja danych, co wskazuje, że osoby atakujące mogą ustanowić i zachować dostęp do potencjalnych przyszłych działań” – ostrzegła firma.
LaComparacion cię potrzebuje! W nadchodzącym szczegółowym raporcie przyglądamy się, w jaki sposób nasi czytelnicy korzystają z VPN. Chętnie poznamy Twoją opinię w poniższej ankiecie. Nie zajmie to więcej niż 60 sekund twojego czasu.
Kliknij tutaj, aby rozpocząć ankietę w nowym oknie
Druga fala?
Chociaż większość serwerów została załatana, powodem do niepokoju są raporty ekspertów ds. bezpieczeństwa, takich jak ESET, którzy zaobserwowali ponad 5.000 zaatakowanych serwerów. W ciągu kilku tygodni po ujawnieniu luk i opublikowaniu łatek badacze bezpieczeństwa wykryli kilka ataków na serwery Exchange, takich jak atak ransomware DearCry przeprowadzany przez człowieka. W poście na blogu zespół ds. analizy zagrożeń usługi Microsoft 365 Defender udostępnił „Trendy zagrożeń”, które zaobserwował w ramach dochodzeń w sprawie ataków. Oprócz ataków człowieka, które powodują upuszczenie na serwery złośliwego oprogramowania, takiego jak oprogramowanie ransomware, zespół wykrył kilka przypadków ataków na powłokę internetową i kradzieży danych uwierzytelniających. Naukowcy uważają, że można je potencjalnie wykorzystać do śledzenia ataków. Podzielili się szczegółową analizą kilku znanych działań po włamaniu, wzywając jednocześnie administratorów do stosowania higieny danych uwierzytelniających, aby uniemożliwić cyberprzestępcom odzyskanie dostępu do serwerów. Opublikował także narzędzia i przewodniki pomagające usuwać znane powłoki internetowe i narzędzia do ataków, dzieląc się jednocześnie najlepszymi praktykami, które pomogą administratorom uruchamiać serwery z najniższymi uprawnieniami, aby zminimalizować szkody w przypadku naruszenia bezpieczeństwa. Przez: ZDNet