[Информационная безопасность, Системное администрирование, GitHub, Софт, IT-компании] Microsoft запустила информационный портал об уязвимости ProxyLogon и опубликовала скрипт для проверки серверов Exchange
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
6 марта 2021 года Microsoft запустила информационный портал об уязвимости ProxyLogon, которой подвержены сотни тысяч серверов Exchange по всему миру. В настоящее время только 10 % от работающих систем пропатчено от четырех багов, позволяюих злоумышленникам удаленно выполнять код на серверах Microsoft Exchange, где используется Outlook on the web (OWA).
Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Также Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:
- Exchange Server 2019 < 15.02.0792.010;
- Exchange Server 2019 < 15.02.0721.013;
- Exchange Server 2016 < 15.01.2106.013;
- Exchange Server 2013 < 15.00.1497.012.
В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании.
Скрипт для проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows.
Microsoft выложила скрипт под названием "Test-ProxyLogon.ps1" в свой репозиторий на GitHub. С его помощью можно автоматизировать в проверку почтового сервера на взлом.
Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системных аминистратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:. \ Test-ProxyLogon.ps1 .
Вдобавок Microsoft опубликовала еще один скрипт — "BackendCookieMitigation.ps1", который отфильтровывает запросы https, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана.
Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом. Дополнительные сведения см. В комментариях вверху сценария.
Извините, данный ресурс не поддреживается. :( Пример запуска скрипта для определения уязвимых серверов Exchange.
2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных.
3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server.
5 марта Reuters сообщило, что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server.
===========
Источник:
habr.com
===========
Похожие новости:
- [Разработка под Linux, Софт, Здоровье, IT-компании] Google вместе с Debian работают над улучшением проекта Bazel для ковидных исследований
- [PHP, Работа с видео, Программирование, HTML, Софт] Самый простой (для знающих Linux) и дешевый способ разместить IP-камеру на сайте для небольшой аудитории
- [Дизайн, Компьютерное железо, Настольные компьютеры, IT-компании] Apple перестанет производить iMac Pro
- [Google Chrome, Браузеры, IT-компании] Google упрощает тестирование экспериментальных функций в Chrome
- [Информационная безопасность, Администрирование доменных имен, Администрирование баз данных] За последние недели взломали 4 крупных русскоязычных хакерских форума
- [Законодательство в IT, Социальные сети и сообщества, IT-компании] Роскомнадзор отправил в суд протоколы на Facebook, Instagram, Twitter, TikTok, «ВКонтакте», Telegram и YouTube
- [Информационная безопасность, DevOps] Защищаемся от Dependency Confusion с помощью Nexus Repo и Nexus IQ
- [Информационная безопасность, Программирование, C++] С++: безопасность для новичков
- [IT-эмиграция, Карьера в IT-индустрии, IT-компании] [Личная история] Разработчик в Сингапуре: найти своё счастье в Юго-Восточной Азии
- [Законодательство в IT, Социальные сети и сообщества, IT-компании] Суд оштрафовал Mail.ru на 4 млн руб. за не удаленный контент в «Одноклассниках» с призывами участия в акции 23 января
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_github, #_soft (Софт), #_itkompanii (IT-компании), #_microsoft_exchange, #_proxylogon, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_sistemnoe_administrirovanie (
Системное администрирование
), #_github, #_soft (
Софт
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Май 07:20
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
 6 марта 2021 года Microsoft запустила информационный портал об уязвимости ProxyLogon, которой подвержены сотни тысяч серверов Exchange по всему миру. В настоящее время только 10 % от работающих систем пропатчено от четырех багов, позволяюих злоумышленникам удаленно выполнять код на серверах Microsoft Exchange, где используется Outlook on the web (OWA). Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). Также Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:
В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании. Скрипт для проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows. Microsoft выложила скрипт под названием "Test-ProxyLogon.ps1" в свой репозиторий на GitHub. С его помощью можно автоматизировать в проверку почтового сервера на взлом. Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системных аминистратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs. Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs. Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:. \ Test-ProxyLogon.ps1 . Вдобавок Microsoft опубликовала еще один скрипт — "BackendCookieMitigation.ps1", который отфильтровывает запросы https, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана. Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом. Дополнительные сведения см. В комментариях вверху сценария. Извините, данный ресурс не поддреживается. :( Пример запуска скрипта для определения уязвимых серверов Exchange. 2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных. 3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server. 5 марта Reuters сообщило, что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_sistemnoe_administrirovanie ( Системное администрирование ), #_github, #_soft ( Софт ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Май 07:20
Часовой пояс: UTC + 5