Home » RU » Exchange server » Узнайте о серверах Exchange, атакованных Hafnium Zero-Days

Узнайте о серверах Exchange, атакованных Hafnium Zero-Days

  author
Written By Chirag Arora 
Anuraag Singh
Approved By Anuraag Singh 
Published On October 11th, 2023
Reading Time 1 Minute Reading

Резюме: Вы один из тех пользователей, которые хотят слышать об атаках нулевого дня Hafnium на Exchange Server? Если да, то вы попали в нужную статью. Здесь мы приводим информацию об атаке гафния.

В последнее время у многих администраторов Exchange, пользователей, ИТ-компаний и других отраслей наблюдается рост атак на локальные серверы Exchange. Целью атаки является почтовый сервер, который чаще всего используется небольшими & amp; Средние предприятия, а также крупные организации с локальным сервером Exchange также подвержены этой атаке, но Exchange Online не подвержен атакам этого типа.

Атака Hafnium на Exchange Server осуществляется спонсируемой государством китайской группой угроз Hafnium, и, по оценкам, более 21000 организаций пострадали. Основные цели находятся в Соединенных Штатах в различных отраслях, таких как юридические фирмы, университеты, ИТ-компании, оборона, НПО, политические аналитические центры и т. Д.

Это общенациональная атака, и многие другие преступные организации используют уязвимости. В том числе новые атаки программ-вымогателей, которые могут привести к другой вредоносной активности. Атака с использованием гафния считается широко распространенной атакой, и серьезность этих эксплойтов означает защиту критически важных систем.

Как работает атака Hafnium на Exchange Server?

Эта атака, по сути, является автоматизированной атакой, которая ищет не исправленный сервер Exchange, который у меня есть на данный момент, на основе обновленной информации. Злоумышленники использовали четыре уязвимости нулевого дня и выполнили удаленный поиск сервера Exchange, доступного в Интернете, чтобы получить доступ к любому серверу через OWA.

После этого они могут создать веб-оболочку для удаленного управления скомпрометированным сервером Exchange, чтобы получить несанкционированный доступ к критически важным системам, таким как Active Directory, а также украсть информацию о компании или организации.

Серверы Exchange атакованы Hafnium Zero-Days | Технические подробности

Microsoft предоставляет клиентам полную информацию со своей стороны, чтобы они могли понять методы, которые Hafnium использует для использования этих уязвимостей и уязвимостей. обеспечить более эффективную защиту от будущих атак на непропатченные системы

1.CVE-2021-26855 – это уязвимость подделки запросов на стороне сервера (SSRF) в Exchange, которая позволяет злоумышленнику украсть произвольные запросы протокола передачи гипертекста (HTTP) & amp; он аутентифицируется как сервер Exchange.

2.CVE-2021-26857: Unified Messaging Services (UMS) представляет собой уязвимость небезопасной десериализации. Он представлен там, где программа десериализует ненадежные контролируемые пользователем данные. Эта уязвимость позволяет Hafnium запускать свой код как СИСТЕМУ на сервере Microsoft Exchange. Для этого требуется авторизация администратора или другая уязвимость, которую можно использовать.

3.CVE-2021-26858 Уязвимость в Exchange заключается в записи произвольных файлов после аутентификации. Если Hufnium может аутентифицироваться с помощью MS Exchange Server, вы можете использовать эту уязвимость для записи файла по любому пути или в любое место хранения на сервере. Они также содержат законные учетные данные администратора или могут быть аутентифицированы с помощью уязвимости SSRF CVE-2021-26855.

4.CVE-2021-27065: уязвимость в Exchange заключается в записи произвольных файлов после аутентификации. Если Hufnium может аутентифицироваться с помощью MS Exchange Server, вы можете использовать эту уязвимость для записи файла по любому пути или в любое место хранения на сервере. Они также содержат законные учетные данные администратора или могут быть аутентифицированы с помощью уязвимости SSRF CVE-2021-26855.

Примечание: Если ваш файл базы данных Exchange Server поврежден и отключен / отключен. Очень необходимо восстановить файл .edb от повреждения, но ручное решение требует глубоких знаний, технических навыков и & amp; практический опыт восстановления поврежденного файла базы данных Exchange.

Совет от профессионалов: если пользователи хотят избежать технических деталей и сложности ручного метода в таком случае, пользователи могут использовать SysTools Инструмент восстановления файлов EDB, который поддерживает отдельные или автономные файлы .edb (общедоступные и частные) и предварительно устанавливает EDB Повреждение файла устраняет упрощенным способом с помощью опции быстрого или расширенного режима сканирования без использования команды. После восстановления пользователи могут легко использовать эту расширенную утилиту для экспорта восстановленных почтовых ящиков EDB в Live Exchange Server Office 365 и в несколько форматов файлов.

Скачать сейчас купить сейча

Как вы защищаете MS Exchange Server от текущих атак?

Что ж, у Microsoft есть обычный метод для инструментов для обновления программного обеспечения, и эта исключительная ситуация требует продвинутого подхода. Кроме того, с регулярными обновлениями программного обеспечения предлагается как старое, так и неподдерживаемое программное обеспечение. За этим стоит намерение быстро обезопасить бизнес пользователей.

Первый шаг – убедиться, что все соответствующие обновления безопасности применены к каждой отдельной системе. Для этого пользователям необходимо найти версию Exchange Server, которую они используют & amp; применить обновления. Он обеспечивает защиту от неизвестных атак & amp; Дайте время компании или организации пользователя обновить свои серверы до определенной версии с полным обновлением безопасности.

На следующем этапе пользователи должны определить, была ли взломана система, и, если да, немедленно удалить ее из сети. Microsoft сделала серию шагов & amp; Вспомогательные инструменты, в том числе – сценарий, который позволяет пользователям проверять наличие признаков взлома, новую версию Microsoft Safety Scanner для выявления подозрительных вредоносных программ и т. Д. Все эти инструменты теперь доступны, и Microsoft рекомендует своим пользователям предоставлять их.

Собери все вместе

Теперь пользователи серверов Exchange, атакованных Hafnium Zero-Days, знают, как это работает, технические детали и как защитить локальный сервер Exchange от недавних атак. Кроме того, на случай, если файл базы данных Exchange пользователя сильно поврежден, мы предоставили расширенное решение, которое позволит пользователям легко и без проблем восстанавливать и восстанавливать файл .edb.

  author

By Chirag Arora

Chirag Arora is a seasoned professional who wears multiple hats in the digital realm. As a Digital Marketing Manager, he orchestrates successful online campaigns, optimizing brand visibility and engagement. Additionally, Chirag brings meticulous attention to detail to his role as a Content Proofreader, ensuring that every piece of content shines with accuracy and clarity.