Chápeme, že veřejné oznámení několika kritických zranitelností zero-day na serveru Microsoft Exchange se týká i našich zákazníků. Tato zpráva podrobně popisuje, jak Bitdefender reaguje, aby zajistil ochranu zákazníků, a poskytuje doporučené kroky, které můžete podniknout proti této hrozbě.
Souhrn incidentů společnosti Microsoft
Dne 2. března 2021 vydala společnost Microsoft opravy čtyř bezpečnostních chyb zranitelností zero-day na své servery Microsoft Exchange Server 2013, 2016 a 2019. Když je vidět více zranitelností zero-day v jednom produktu, jedná se obvykle o práci jednoho hlavního aktéra, který má kybernetické hrozby na svědomí. Microsoft vyhodnotil, že za zneužitím zranitelností byla špionážní skupina Hafnium, která je spojená s Čínou. Společnost Microsoft vydala opravy a zranitelné servery by měly být opraveny co nejdříve.
Jak reagoval Bitdefender
Nejprve jsme zajistili, aby tyto chyby zabezpečení neměly přímý nebo nepřímý dopad na Bitdefender. Také jsme zahájili pátrání po vnitřních hrozbách, které hledalo indikátory kompromitace, vztahující se k zero-days a Microsoftu, a zjistili jsme, že naše prostředí je v bezpečí.
Bezpečnostní operační středisko společnosti Bitdefender, laboratoře Bitdefender Labs a týmy pro vyhledávání hrozeb nadále aktivně monitorují aktivity související se zranitelnostmi serveru Microsoft Exchange Server pro naše zákazníky spravované detekce a reakce (MDR), a okamžitě je upozorní, pokud se v jejich prostředí objeví podezřelý záměr. Navíc, pro naše ostatní zákazníky, společnost Bitdefender ověřila detekci útoků v prevenci, heuristice, modelech strojového učení a analýze zabezpečení - aby detekovala aktivitu prostřednictvím nástrojů Bitdefender.
Příručka pro zmírnění dopadů pro zákazníky
Abychom vám pomohli napravit tyto chyby zabezpečení a zabezpečit vaše prostředí, měli byste podniknout následující kroky:
Vyhledejte všechny servery Exchange, napříč všemi prostředími, a určete, zda je třeba nějaké opravit
Opravte a zabezpečte všechny servery Exchange, a zabezpečte prostředí
Pomocí následujících známých indikátorů kompromitace zjistěte, zda již nebyl váš server Exchange Server napaden (i když byl opraven bezpečnostním patchem):
IOCs
Další informace o chybách zabezpečení Zero-Day na Microsoft Exchange Server:
Microsoft Security Response Center: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Microsoft Official Blog: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/