a
b
c
d
FindNews.ru - новости, последние события, хроники.

Varonis предложила помощь в устранении последствий уязвимостей серверов Exchange

Varonis начала работу по расследованию инцидентов, возникших из-за четырех критических уязвимостей в Exchange Server 2010, 2013, 2016, и 2019. Ранее Microsoft выпустила срочное обновление, чтобы их закрыть. Microsoft сообщила о китайской, предположительно спонсируемой государством, группировке HAFNIUM, использующей эти уязвимости. По информации Microsoft, Exchange Online не подвержен этим же уязвимостям.

Команда Varonis выявила злонамеренное использование этих уязвимостей для получения удаленного доступа к серверам Exchange и выгрузки критичных данных, включая почтовые ящики целиком.

Во время атаки эксплуатируются четыре CVE.

Первый CVE — уязвимость Exchange, которая позволяет подделывать запросы на стороне сервера – server-side request forgery (SSRF), отправлять произвольные запросы HTTP и аутентифицироваться от имени конкретного сервера Exchange.

Второй CVE — 2021-26857, который используется для повышения привилегий – privilege escalation, чтобы получить на сервере привилегии системной учетной записи: SYSTEM.

Третий и четвертый CVE — 2021-26858, CVE-2021-27065 используются для записи файлов в любую папку на сервере. Скорее всего, атакующие используют удаленный доступ к Exchange чтобы переключиться на еще более критичные системы, например, контроллеры домена.

«Если вам потребуется любая помощь, свяжитесь с командой в России, и мы сделаем все возможное и зависящее от нас, чтобы убедиться, что ваша компания в безопасности, даже если она не является нашим заказчиком», — сказал Александр Коновалов, технический директор Varonis в России.

Также Varonis подготовила подробную памятку о том, как защититься и обнаружить признаки компрометации.

Наука и высокие технологии - другие новости