Naj vam hekerji ne berejo e-pošte – zaščitite strežnike Exchange

O težavah, ki so jih povzročile v e-poštnih strežnikih Microsoft Exchange odkrite ranljivosti, katere hekerji že pospešeno izkoriščajo, bomo verjetno brali in poslušali celo leto. Poskrbite, da se v novicah (in težavah) ne znajde tudi vaše podjetje.

Microsoft je v začetku marca izdal vrsto nujnih varnostnih popravkov za e-poštne strežnike Exchange Server vseh različic (2010, 2013, 2016 in 2019) in razkril podrobnosti o napadalcih. Sprva naj bi težave povzročala organizirana skupina hekerjev, poimenovana Hafnium in domnevno s podporo Kitajske, a so zadnji tedni pokazali, da ranljivosti izkorišča vedno več različnih napadalcev.

O tem, za kaj je Microsoft potreboval dva meseca, da je pripravil ustrezne popravke ranljivosti svojih e-poštnih strežnikov Exchange, na tem mestu ne bi sodili, želimo le, da se hitro in odločno odzovete, saj je napadenih in zlorabljenih e-poštnih strežnikov (in posledično podjetij) iz dneva v dan več, njihove številke se merijo v milijonih.

Pomislite, kakšne informacije vsebuje e-pošta vašega podjetja? Vse podrobnosti, skrivnosti, konkurenčne prednosti, poslovne priložnosti, stranke. Ne, to res ne sme priti v roke nepridipravom.

Kaj storiti?

Najprej namestite nujne varnostne popravke za vaš(e) strežnik(e) Microsoft Exchange. Skupaj s praktičnim nasveti tehnične skupnosti uporabnikov jih najdete na tej povezavi.

Če zaradi narave dela in sistemov v vašem IT-okolju popravkov ne morete namestiti takoj, uporabite naslednje metode za ublažitev ranljivosti, ki jih priporoča Microsoft.

Da boste resnično vedeli, ali je bil vaš e-poštni strežnik napaden in ali zlorabljen, lahko prav tako uporabite praktično PowerShell orodje, ki bo preverilo strežnik Exchange za morebitnim napadom.

V primeru da Exchange strežnika še niste nadgradili s popravki, predlagamo forenzični pregled strežnika in takojšno odstranitev nezaželenih skript.

Storitev varnostnega pregleda e-poštnega strežnika lahko opravijo tudi naši varnostni strokovnjaki.

V kolikor je prišlo do zlorabe, svetujemo, da zamenjate vsa uporabniška imena in gesla.

Kako naprej?

Namestite ustrezno varnostno programsko opremo, če je vaše IT-okolje še ne uporablja. Predlagamo, da na računalnike in delovne postaje namestite programsko rešitev Panda Adaptive Defense 360, ki zazna napredne varnostne grožnje in jih pravočasno blokira. Omenjena rešitev premore tudi modul, ki skrbnika opozarja o nujnosti nadgradenj programske opreme in svežih popravkih nadgradnjah – tudi v primeru strežnikov Exchange so bili skrbniki takoj obveščeni o ranljivosti in popravku.

Svetujemo uporabo požarnih pregrad naslednje generacije (NGFW) s primerno nastavljenimi varnostnimi storitvami, kot so IPS, APT, RED… T.i. aktivni IPS sistemi, podprti z umetno inteligenco in ogromno bazo podatkov iz oblaka, hitro zaznajo vse anomalije v obnašanju uporabnikov, sistemov in aplikacij, ter skrbnika obvestijo o nenavadnem obnašanju, grožnjo in/ali napadalca pa blokirajo, še preden bi lahko povzročila škodo.

Varnostni strokovnjaki podjetjem svetujejo uporabo povezav VPN pri oddaljenem povezovanju na strežnike in aplikacije podjetja. Z rešitvijo WatchGuard Firebox in Fireware lahko poskrbite za varno povezovanje zaposlenih, ki delajo na daljavo, tudi brez dragih sistemov za povezave VPN. S t. i. povratnim posredniškim strežnikom (proxy) lahko oddaljeni uporabniki varno povežejo z notranjimi spletnimi aplikacijami in storitvami Microsoft Exchange brez odjemalca VPN. Torej lahko prek spleta (beri: iz zunanjih omrežij) na strežnike Exchange ali do drugih aplikacij v notranjih omrežjih dostopate varno in enostavno.

Vsem, ki uporabljate SIEM orodja pa predlagamo, da se analizira celoten potek napada na Exchange strežnik, in s tem naredi analizo iz katere bo vidno, kje vse so nameščene skripte.

S pomočjo SIEM-a bo vidna celotna slika do kam (v globino) so prišli na samem strežniku.

Imate dodatno vprašanje ali več njih? Pokličite nas (01/ 5800 811) ali nam pišite. Z veseljem vam bomo pomagali.

Lep pozdrav in ostanite zdravi ter varni.
Ekipa WatchGuard Slovenija


PS: Želite več informacij o ranljivostih strežnikov Exchange? V internetu poiščite naslednje oznake ranljivosti CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 in CVE-2021-27065.

Naročite BREZPLAČEN posvet z našim strokovnjakom

Kateri varnostni rešitvi zaupati?

Hekerski napadi so vse bolj napredni, med žrtvami pa tudi podjetja, ki skrbijo za varnostne rešitve. Na koga se potemtakem sploh lahko zanesemo? Zadnji meseci so dokazali, da nedotakljivih skorajda ni več. Varnostni strokovnjaki že

V zgolj nekaj minutah vdrli v 16 platform

V zgolj nekaj minutah vdrli v 16 strojnih in programskih platform. Tekmovanje ali realnost? Do konca novembra 2020 je španska agencija za varovanje podatkov (AEPD) poročala o 837 varnostnih kršitvah osebnih podatkov. To je kar 201