Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) και η Υπηρεσία Εθνικής Ασφάλειας (NSA) εξέδωσαν οδηγίες για να βοηθήσουν τους διαχειριστές IT να σκληρύνουν τους διακομιστές Microsoft Exchange στα δίκτυά τους έναντι επιθέσεων.
Οι συνιστώμενες βέλτιστες πρακτικές περιλαμβάνουν τη σκλήρυνση του ελέγχου ταυτότητας και της πρόσβασης χρήστη, την ελαχιστοποίηση των επιφανειών επίθεσης εφαρμογών και τη διασφάλιση ισχυρής κρυπτογράφησης δικτύου.
Οι εταιρείες συμβουλεύουν επίσης τους υπερασπιστές του δικτύου να παροπλίσουν εσωτερικούς ή υβριδικούς διακομιστές Exchange μετά τη μετάβαση στο Microsoft 365, επειδή η διατήρηση ενός τελευταίου διακομιστή Exchange στο περιβάλλον τους που δεν είναι ενημερωμένος μπορεί να εκθέσει τους οργανισμούς τους σε επιθέσεις και να αυξήσει σημαντικά τους κινδύνους παραβίασης της ασφάλειας.
Επιπλέον, αν και δεν αντιμετωπίζεται από την CISA και τον οδηγό της NSA, η παρακολούθηση για κακόβουλη ή ύποπτη δραστηριότητα και ο σχεδιασμός για πιθανά περιστατικά και η ανάκτηση είναι εξίσου ζωτικής σημασίας για τον μετριασμό των κινδύνων που σχετίζονται με διακομιστές on-prem Exchange.
«Περιορίζοντας την πρόσβαση διαχειριστή, εφαρμόζοντας έλεγχο ταυτότητας πολλαπλών παραγόντων, επιβάλλοντας αυστηρές διαμορφώσεις ασφάλειας μεταφορών και υιοθετώντας αρχές μοντέλου ασφάλειας μηδενικής εμπιστοσύνης (ZT), οι οργανισμοί μπορούν να ενισχύσουν σημαντικά την άμυνά τους έναντι πιθανών επιθέσεων στον κυβερνοχώρο». είπε οι δύο υπηρεσίες την Πέμπτη, μαζί με το Australian Cyber Security Center (ACSC) και το Canadian Center for Cyber Security (Cyber Centre).
“Επιπλέον, καθώς ορισμένες εκδόσεις του Exchange Server έχουν καταργηθεί πρόσφατα (EOL), οι εταιρείες σύνταξης ενθαρρύνουν σθεναρά τους οργανισμούς να λαμβάνουν προληπτικά μέτρα για τον μετριασμό των κινδύνων και την πρόληψη κακόβουλης δραστηριότητας.”
Η CISA, η NSA και οι συνεργάτες τους μοιράστηκε πάνω από δώδεκα βασικές συστάσεις ασφάλειας για υπερασπιστές δικτύου, συμπεριλαμβανομένης της ενημέρωσης των διακομιστών, της μετεγκατάστασης από μη υποστηριζόμενες εκδόσεις του Exchange, της ενεργοποίησης των υπηρεσιών μετριασμού έκτακτης ανάγκης, της ενεργοποίησης των ενσωματωμένων λειτουργιών anti-spam και του κακόβουλου λογισμικού, του περιορισμού της πρόσβασης διαχειριστή σε εξουσιοδοτημένους σταθμούς εργασίας και της εφαρμογής βασικών γραμμών ασφαλείας για συστήματα Exchange Server και Windows.
Οι εταιρείες προτείνουν επίσης την ενίσχυση του ελέγχου ταυτότητας ενεργοποιώντας το MFA, το Modern Auth και τη μόχλευση του OAuth 2.0, την ανάπτυξη των Kerberos και SMB αντί για NTLM για την ασφάλεια των διαδικασιών ελέγχου ταυτότητας και τη διαμόρφωση της ασφάλειας επιπέδου μεταφοράς για την προστασία της ακεραιότητας των δεδομένων και της εκτεταμένης προστασίας για άμυνα έναντι των επιθέσεων Adversary-Middle-in-itthe.
Οι οργανισμοί θα πρέπει επίσης να ενεργοποιήσουν την υπογραφή βάσει πιστοποιητικών για το κέλυφος διαχείρισης Exchange και να εφαρμόσουν HTTP Strict Transport Security για να εξασφαλίσουν ασφαλείς συνδέσεις προγράμματος περιήγησης. Επιπλέον, θα πρέπει να εφαρμόσουν έλεγχο πρόσβασης βάσει ρόλων για τη διαχείριση των δικαιωμάτων χρήστη και διαχειριστή, να διαμορφώσουν τους τομείς λήψης για να αποκλείουν επιθέσεις πλαστογράφησης αιτημάτων μεταξύ ιστότοπων και να παρακολουθούν τις προσπάθειες χειραγώγησης κεφαλίδας P2 FROM για την αποτροπή πλαστογράφησης αποστολέα.
Η σημερινή κοινή συμβουλευτική βασίζεται οδηγία έκτακτης ανάγκης (ED 25-02) που εκδόθηκε από την CISA τον Αύγουστο του 2025 και διέταξε τις υπηρεσίες του Federal Civilian Executive Branch (FCEB) να ασφαλίσουν τα συστήματά τους έναντι μιας ευπάθειας υψηλής σοβαρότητας υβριδικού Microsoft Exchange (CVE-2025-53786) εντός τεσσάρων ημερών.
Όπως προειδοποίησε η Microsoft εκείνη την εποχή, η ευπάθεια επηρεάζει τον Microsoft Exchange Server 2016, 2019 και τη Συνδρομητική Έκδοση, επιτρέποντας στους εισβολείς που αποκτούν πρόσβαση διαχειριστή σε διακομιστές Exchange εσωτερικού χώρου να μετακινούνται πλευρικά σε περιβάλλοντα cloud της Microsoft, μπορεί να οδηγήσει σε πλήρη συμβιβασμό τομέα.
Μέρες αφότου η CISA έδωσε εντολή στις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν τους διακομιστές τους, ο επιτηρητής του Διαδικτύου Shadowserver βρήκε πάνω από 29.000 διακομιστές Exchange εξακολουθούν να είναι ευάλωτοι σε πιθανές επιθέσεις CVE-2025-53786.
Τα τελευταία χρόνια, οι ομάδες χάκερ που υποστηρίζονται από το κράτος και έχουν οικονομικά κίνητρα εκμεταλλεύτηκε πολλαπλές ευπάθειες ασφαλείας του Exchange για παραβίαση διακομιστών, συμπεριλαμβανομένων των σφαλμάτων ProxyShell και ProxyLogon zero-day. Για παράδειγμα, τουλάχιστον δέκα ομάδες hacking εκμεταλλεύτηκαν τα ελαττώματα του ProxyLogon τον Μάρτιο του 2021, συμπεριλαμβανομένης της διαβόητης ομάδας απειλών Silk Typhoon που χρηματοδοτείται από την Κίνα.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
