Microsoft Exchange базасындағы пошталық серверлерді хакерлер бұзуы мүмкін

«Мемлекеттік техникалық қызмет» АҚ KZ-CERT компьютерлік  инциденттерге әрекет ету қызметі Интернеттің қазақстандық сегментін ақпараттық қауіпсіздік қатерлері тұрғысынан мониторингтеу барысында ProxyShell осалдығына ұшыраған Microsoft Exchange базасындағы бірқатар пошталық серверлер айқындалғанын хабарлайды.

Естеріңізге салайық, бұдан бұрын ағымдағы жыдың тамызында Black Hat конференциясында зиянкестердің Microsoft Exchange ProxyShell кодын қашықтықтан орындау осалдығы бар хосттардың болуына Интернетте белсенді сканерлеу жүргізуінің техникалық егжей-тегжейлікері беріліп, ақпарат жарияланған.

ProxyShell – Microsoft Exchange-дегі үш осалдықтың ортақ атауы. Оларды бірге пайдалану қашықтықтағы авторланбаған шабуыл жасаушыға осал серверде еркін кодты орындауға мүмкіндік береді. Осы байланысты осалдықтар Client Access Service (CAS) арқылы Internet Information Services-тегі (IIS) 443 портта іске қосылған ProxyShell-ді қашықтықтан пайдаланып қолданылады.

Бұл осалдық зиянкестерге компанияның корпоративтік желілеріне ену үшін пайдаланушымен мүмкіндігінше аз өзара іс-қимыл жасап, жеке конфигурациясын автоматты түрде баптауға мүмкіндік береді, оған қоса  ProxyShell-ге арналған эксплоитті пайдалана алатын күшпен алушыны іске қосып, зиянкестер конфиденциалды ақпаратты да қолға түсіруі ықтимал.

Huntress Labs сарапшыларының ақпараты бойынша, қазіргі сәтте ProxyShell-ге арналған эксплоит пайдаланылған шабуылдардан әлемде бірнеше құрлыс компаниясына, теңіз өнімдерін өңдеу бойынша кәсіпорындарға, өнеркәсіптік жабдыққа, автошеберханаларына, шағын әуежайға және тағы басқаларға нұқсан келтірілген.

KZ-CERT қызметі Қазақстан аумағындағы ProxyShell осалдығына ұшараған серверлердің иеленушілерін хабардар ету бойынша іс-шараларды жүргізді.

Зиянкестердің құрбаны болмау үшін KZ-CERT сарапшылары:
•    Microsoft Exchange веб-серверінің сканерленуін айқындау үшін Azure Sentinel пайдалана отырып, IIS (Internet Information Server) журналын «/autodiscover/autodiscover.json» немесе «/mapi/nspi/» жолдарының болуына тексеруді ұсынады. Нәтижелерінде мақсатты URL-мекенжайының айқындалуы зиянкестер серверді осалдықтар тұрғысынан сканерлеу жүргізгенін білдіреді;
•    Сенімді IP-мекенжайларының «ақ» тізімін баптап, Microsoft Exchange
веб-нұсқасына сырттан ашық қолжетімділікті шектеуді;
•    Microsoft Exchange өзекті қауіпсіздік жаңартуларын дереу қолдануды;
•    Қауіпсіздіктің жаңартуларын уақытылы орнатуды ұсынады.

 «Мемлекеттік техникалық қызмет» АҚ
Тел: +7-717-255-99-99   
E-mail: info@ cert.gov.kz.
incident@ cert.gov.kz.

дата материала: 
07.09.2021