4 марта компания Microsoft выпустила исправления для нескольких уязвимостей нулевого дня Microsoft Exchange Server. Уязвимости существуют в локальных серверах Exchange Server версии 2010, 2013, 2016 и 2019.
Мы хотели убедиться, что вы осведомлены о ситуации, и просим вас принять немедленные меры в соответствии с вашими политиками и процедурами информационной безопасности.
Просим партнёров принять немедленные меры в соответствии с вашими политиками и процедурами информационной безопасности.
- Оцените инфраструктуру Exchange Server.
- Установите исправления на затронутые системы, при этом в первую очередь обновления должны быть установлены для серверов, доступных из сети Интернет (например, серверы, публикующие Outlook Web App (OWA) и Exchange Control Panel (ECP) для удаленного доступа).
Чтобы закрыть данные уязвимости, вам необходимо:
- предварительно установить последнее кумулятивное обновление, доступное для Exchange Server;
- затем установить соответствующие обновления безопасности на каждом сервере Exchange.
Вы можете использовать скрипт проверки работоспособности Exchange Server, который можно загрузить с GitHub (используйте последнюю версию). Запуск этого скрипта поможет определить актуальность обновлений локального сервера Exchange Server (обратите внимание, что сценарий не поддерживает Exchange Server 2010).
Оцените, использовались ли уязвимости или нет, с помощью индикаторов взлома, которые опубликованы по ссылке: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Microsoft рекомендует использовать Azure Sentinel для создания запросов для расширенного поиска индикаторов компрометации и сигналов о потенциальной атаке, а также шаблоны запросов для анализа угроз и создания оповещений для последующей реакции и восстановления из Microsoft Defender for Endpoint.
Информация, которая поможет вам и вашим командам:
- Security Update Release Notes – Microsoft Security Update Guide
- CVE-2021-26412
- CVE-2021-26854
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
- CVE-2021-27078
- Exchange Team Blog - Microsoft Tech Community
- Microsoft Security Response Center release - Microsoft Tech Community
- CSS Support: https://support.microsoft.com/