6 марта компания Microsoft указала на уязвимости в программном обеспечении Microsoft Exchange. Компания IONOS узнала об уязвимости еще 3 марта и немедленно применила обновления, предоставленные Microsoft, ко всем системам Exchange, которыми она сама управляла, чтобы устранить уязвимости. Системы IONOS не были затронуты волной атак.
В этом интервью с ведущим инженером Exchange Джоном Барнсом мы попытаемся прояснить наиболее важные вопросы по этому поводу.
- Вопрос: Когда вы узнали об уязвимости и что произошло?
- Вопрос: Какие шаги были предприняты и сколько времени это заняло?
- Вопрос: что является главным приоритетом в таких случаях?
- Вопрос: Как вам удается оставаться в курсе таких угроз?
- Вопрос: Кто может пострадать, какой тип пользователей подвержен наибольшему риску?
- Вопрос: Есть ли у вас какие-либо рекомендации, например, инструменты для обнаружения уязвимых серверов?
- Вопрос: В случае инцидента, каковы возможные последствия для пострадавших организаций?
- Вопрос: Остаются ли какие-либо риски после принятия всех мер?
- Вопрос: Какова оценка последствий?
Вопрос: Когда вы узнали об уязвимости и что произошло?
Мы узнали об уязвимости очень рано утром 3 марта и сразу же начали оценивать, какие серверы нуждаются в исправлении, и разделили работу между командой, чтобы ускорить процесс исправления.
Мы сразу поняли, что это обновление очень важно, поскольку Microsoft редко выпускает исправления вне стандартного ежемесячного процесса. Как только мы вникли в детали уязвимостей и поняли технические последствия, стало очевидно, что это обновление должно быть выполнено как можно быстрее.
Вопрос: Какие шаги были предприняты и сколько времени это заняло?
Мы создаем наши платформы со значительным резервированием, поэтому в подобных обстоятельствах мы можем исправлять наши платформы в рабочее время без потери сервиса для наших клиентов. По возможности, это также позволяет нам автоматизировать процесс исправления, так что значительная часть наших серверов уже была установлена до начала рабочего дня.
Другие части нашей платформы мы начали обновлять поэтапно, перемещая рабочую нагрузку между серверами, чтобы избежать перерыва в обслуживании, который занял большую часть дня в среду, отдавая предпочтение тем частям платформы, которые, по нашему мнению, были наиболее уязвимы. Мы также бдительно следили за любой подозрительной активностью на наших платформах.
Пока шла работа над исправлениями, мы также присоединились к звонку из Microsoft по поводу обновления и координировали свои действия с группой безопасности IONOS, чтобы обеспечить распространение информации среди всех сотрудников компании. Звонок в Microsoft был особенно поучителен тем, как много внимания сейчас уделяется исправлениям, а не попыткам смягчить последствия эксплойта другими способами.
После завершения процесса установки исправлений мы переключили свое внимание на сканирование на наличие индикаторов компрометации. Это длительный процесс из-за размера наших платформ и того, насколько серьезно мы относимся к этим уязвимостям, поэтому мы посвятили этому процессу сканирования несколько дней.
Вопрос: что является главным приоритетом в таких случаях?
Приоритетом номер один должно быть как можно более быстрое устранение уязвимости, что иногда бывает непросто в случае с такими критически важными для бизнеса системами, как электронная почта. В подобных случаях, когда уязвимость может быть настолько опасной, стоит подумать о том, стоит ли вызвать перерыв в обслуживании, чтобы быстрее установить исправление.
Вопрос: Как вам удается оставаться в курсе таких угроз?
Как хостинг-провайдер мы готовы быстро и решительно реагировать на подобные «инциденты». Поскольку мы занимаемся этим каждый день, у нас есть контакты и информация, чтобы узнавать о таких вещах как можно раньше — часто до публичных релизов.
Наши процессы в высшей степени автоматизированы и управляемы, поэтому мы можем быстро реагировать, и мы работаем на глобально масштабируемых платформах с геоизбыточностью, что означает, что обновления могут быть применены без сбоев в работе. В качестве хостера мы управляем глобальными платформами Hosted Exchange с 2010 года и имеем непревзойденный опыт за пределами Microsoft. Мы понимаем, что такие вещи случаются, и самое важное — это то, как вы можете реагировать.
Вопрос: Кто может пострадать, какой тип пользователей подвержен наибольшему риску?
Я думаю, что наибольшему риску подвергаются небольшие компании, использующие серверы Exchange в помещениях, у которых не всегда есть ресурсы, чтобы следить за ежеквартальным графиком выпуска кумулятивных обновлений от Microsoft.
Когда Microsoft первоначально выпустила обновления, они были доступны только для двух последних накопительных обновлений для каждой версии Exchange, что означало, что компаниям, не имеющим актуальных обновлений, нужно было установить последние накопительные обновления, прежде чем исправлять уязвимость. Это может быть гораздо более сложным процессом, чем просто установка обновления безопасности для Exchange, и займет значительно больше времени, что увеличит подверженность компании этой уязвимости.
Вопрос: Есть ли у вас какие-либо рекомендации, например, инструменты для обнаружения уязвимых серверов?
Для этой конкретной уязвимости: Microsoft рекомендует этот HealthChecker для определения уровня исправлений на ваших серверах и определения необходимости обновления серверов. В частности, через Microsoft Update может быть не видно, что у вас есть невыполненное обновление, если ваши серверы Exchange не исправлены до последнего накопительного обновления. Сценарий Test-ProxyLogon — это сценарий Microsoft, который поможет вам определить любые индикаторы компрометации.
В общем случае я обнаружил, что Nessus Vulnerability Scanner особенно эффективен для выявления уязвимостей и непропатченных серверов.
Вопрос: В случае инцидента, каковы возможные последствия для пострадавших организаций?
Этот эксплойт был особенно неприятным, эксплойт ‘Unauthenticated Remote Code Execution as System’. Он особенно опасен в данном случае, поскольку серверы Microsoft Exchange обычно имеют высокий уровень привилегий в Active Directory, которая является основной системой аутентификации и авторизации для систем Windows в компании.
Это означает, что риски для бизнеса чрезвычайно высоки, со значительной вероятностью кражи/уничтожения бизнес-данных, потери способности функционировать и т.д. Трудно преуменьшить возможные последствия для бизнеса, если злоумышленник сможет успешно использовать эту уязвимость.
Вопрос: Остаются ли какие-либо риски после принятия всех мер?
Я думаю, что всегда трудно дать окончательное заключение «все чисто» в отношении такого рода уязвимостей. Мы провели все сканирования, основываясь на информации, предоставленной Microsoft, и не увидели ничего примечательного, но действительно хороший злоумышленник может сделать так, что обнаружить компрометацию будет очень сложно.
В частности, из различных новостных источников стало известно, что эти конкретные уязвимости были впервые обнаружены в начале января и о них было ответственно сообщено в Microsoft. В конце февраля были выявлены более широкомасштабные атаки непосредственно перед тем, как Microsoft выпустила исправления. Это означает, что существует значительный промежуток времени для первоначального использования уязвимости.
Вопрос: Какова оценка последствий?
Я считаю, что это может заставить компании пересмотреть свое мнение о том, хотят ли они продолжать размещать свои системы электронной почты в помещениях и реальные затраты на обслуживание этих систем по сравнению с размещением этих важных для бизнеса систем у надежного облачного провайдера.
Дополнительная информация:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/