Foto: Pixabay

Marta sākumā konstatētas kritiskas ievainojamības "Microsoft (MS) Exchange" e-pasta serveros, kas tiek plaši izmantoti gan valsts, gan privātajā sektorā, informē "Cert.lv".

Pieejamie ārkārtas "Microsoft" atjauninājumi pasargā serverus no turpmākiem uzbrukumiem, taču nenovērš apdraudējumu, ja uzbrukums noticis vēl pirms atjauninājumu uzstādīšanas. Ņemot vērā augsto uzbrucēju aktivitāti pirms atjauninājumu publicēšanas, "Cert.lv" aicina iestādes un uzņēmumus veikt savu "MS Exchange" serveru pārbaudi. Līdz 2021. gada 15. martam "Cert.lv" ir konstatējusi ļaunatūras klātbūtni vismaz desmit "MS Exchange" serveros valsts sektorā, taču paredzamais upuru skaits valstī kopumā varētu pārsniegt 150 organizācijas.

Veiksmīga uzbrukuma gadījumā pastāv risks, ka uzbrucēji ne vien iegūst darbinieku e-pastu piekļuves datus, piekļuvi e-pastu sarakstēm un adrešu grāmatiņai, bet var arī iet soli tālāk un veikt darbības, kas var kompromitēt visu uzņēmuma tīkla infrastruktūru.

Ietekmētas ir visas aktuālās, lokālās (on-premises) "MS Exchange" versijas. Uzbrukums vērsts pret tīmekļa komponenti (OWA un ECP). Atsevišķos gadījumos kompromitētajā infrastruktūrā novērota arī šifrējošā izspiedējvīrusa klātbūtne, kas var paralizēt visa uzņēmuma vai iestādes darbību.

Dažos gadījumos serveri kompromitēti nepilnu stundu pirms atjauninājumu uzstādīšanas, tāpēc līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais, "Cert.lv" aicina uzskatīt visus "MS Exchange" serverus par kompromitētiem.

Pārbaužu veikšanai CERT.LV iesaka izmantot sekojošus rīkus (jāizmanto abi):

  1. "https://github.com/microsoft/CSS-Exchange/tree/main/Security"

  2. "https://github.com/cert-lv/exchange_webshell_detection"

"Cert.lv" uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms servera programmatūras atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja atjauninājumi tika uzstādīti, tiklīdz tie bija pieejami.

"Cert.lv" aicina visus uzņēmumus un iestādes, kas izmanto "MS Exchange" e-pasta serverus, pret aplūkotajiem riskiem attiekties nopietni un veikt nepieciešamās pārbaudes. Ja iestādei vai uzņēmumam trūkst kapacitātes vai zināšanu minēto darbību veikšanai – "Cert.lv" iesaka apsvērt iespējas piesaistīt speciālistus ārpakalpojumā.

"Cert.lv" - Informācijas tehnoloģiju drošības incidentu novēršanas institūcija Latvijā, dibināta 2006.gadā, ir "Latvijas Universitātes Matemātikas un informātikas institūta" (LU MII) struktūrvienība, kas darbojas Latvijas Republikas Aizsardzības ministrijas pakļautībā IT drošības likuma ietvaros.

Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!