Мы понимаем, что публичное объявление о нескольких критических уязвимостях нулевого дня в сервере Microsoft Exchange беспокоит наших клиентов. В этом сообщении подробно рассказывается, как Bitdefender реагирует для обеспечения защиты клиентов, и предоставляет рекомендуемые меры по снижению риска, которые можно предпринять.
Сводка инцидента Microsoft
2 марта 2021 года Microsoft выпустила исправления для четырех уязвимостей нулевого дня в своих локальных решениях Microsoft Exchange Server 2013, 2016 и 2019.
Когда в одном продукте обнаруживается множество уязвимостей нулевого дня, это обычно является делом основной киберугрозы. По оценке Microsoft, за использованием уязвимостей изначально стояла связанная с Китаем шпионская группа Hafnium.
Microsoft выпустила исправления, и уязвимые серверы должны быть исправлены как можно скорее.
Как отреагировал Bitdefender
Прежде всего, мы позаботились о том, чтобы эти уязвимости не повлияли на Bitdefender напрямую или косвенно. Мы также начали внутреннюю охоту за угрозами для поиска индикаторов компрометации, связанных с нулевым днем Microsoft, и определили, что наши среды остаются безопасными.
Операционный центр безопасности Bitdefender, лаборатории Bitdefender и группы по поиску угроз продолжают активно отслеживать активность, связанную с уязвимостями Microsoft Exchange Server, для наших клиентов управляемого обнаружения и реагирования, и немедленно уведомят их, если в их среде будет обнаружено подозрительное действие.
Кроме того, для других наших клиентов Bitdefender проверил обнаружение атак в механизмах предотвращения продуктов, эвристике, моделях машинного обучения и аналитике безопасности – для обнаружения активности с помощью инструментов Bitdefender.
Пособие по смягчению последствий для клиентов
Чтобы помочь вам устранить эти уязвимости и защитить свои среды, необходимо предпринять следующие шаги по снижению:
- Найдите все серверы Exchange во всех средах и определите, нужно ли исправлять какие-либо.
- Исправьте и защитите все серверы Exchange и защитите среду.
- Выясните, не был ли уже скомпрометирован сервер Exchange (даже если он был исправлен), используя следующие известные индикаторы взлома:
МОК
| Индикатор | Тип |
| b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0 | Веб- оболочка SHA256hash |
| 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e | Веб- оболочка SHA256hash |
| 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1 | Веб-оболочка SHA256hash |
| 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5 | Веб-оболочка SHA256hash |
| 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1 | Веб-оболочка SHA256hash |
| 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea | Веб-оболочка SHA256hash |
| 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d | Веб-оболочка SHA256hash |
| 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944 | Веб-оболочка SHA256hash |
Дополнительные сведения об уязвимостях нулевого дня Microsoft Exchange Server:
Центр поддержки безопасности Microsoft: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Официальный блог Microsoft: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Блог Bitdefender: https://hotforsecurity.bitdefender.com/blog/microsoft-issues-exchange-server-updates-for-four-0-day-vulnerabilities-used-by-chinese-hafnium-apt-25420.html
Ваша безопасность всегда является нашим главным приоритетом. Если у вас есть какие-либо вопросы или проблемы, свяжитесь с нами по нашим каналам поддержки клиентов, указанным здесь: https://www.bitdefender.com/business/customer-portal/enterprise-standard-support.html