Raportti: 92 prosenttia Microsoft Exchange -palvelimista on nyt suojattu ProxyLogonia vastaan

Microsoft kertoo, että noin 92 prosenttia kaikista Microsoft Exchange -palvelimista on nyt päivitetty ja suojattu vastaan ​​ProxyLogon-haavoittuvuutta vastaan, joka on vaivannut palvelua - ja tietoturvatutkimus- ja reagointiryhmiä - viikkoa.

Varaamattomien Microsoft Exchange -palvelinten määrä on noin 30 000, korkeimmasta noin 400 000: sta.

Suuri vähennys haavoittuvissa Microsoft Exchange -palvelimissa

Haavoittuvien Microsoft Exchange -palvelimien tarkkaa kokonaismäärää ei tunneta.

Kuitenkin 2. maaliskuuta, kun Microsoft julkaisi ensimmäisen tietoturvakorjauksensa, noin 400 000 Exchange-palvelinta oli alttiina ProxyLogon-heikkoudelle. Viikko suojauskorjaustiedostojen käynnistämisen ja käyttöönoton jälkeen, 9. maaliskuuta, luku oli pudonnut noin 100 000: een varaamattomiin palvelimiin.

Microsoftin uusin raportti osoittaa, että haavoittuvia Exchange-palvelimia on jäljellä alle 30 000.

Tämän twiitin jälkeen on todennäköistä, että määrä on vähentynyt edelleen.

Microsoft on toteuttanut merkittäviä toimia suojaamaan haavoittuvia Microsoft Exchange -palvelimia pitkittyneen ProxyLogon-haavoittuvuuden edessä. Esimerkiksi Exchange On-Premises Mitigation Tool (EOMT) on yhdellä napsautuksella ProxyLogon-korjaus työkalu, joka helpottaa Microsoft Exchange Server -asiakkaiden suojaamista nopeasti infrastruktuuri.

Liittyvät: Microsoft käynnistää yhden napsautuksen Exchange Server Fix -korjauksen

Microsoft on myös lisännyt automaattisen korjaustyökalun Microsoft Defender. Mukaan postitse virallinen Microsoft Security -blogiAsiakkaat, jotka käyttävät Microsoft Defender Antivirus- ja System Center Endpoint Protection -sovelluksia,lievittää automaattisesti CVE-2021-26855 haavoittuvassa Exchange-palvelimessa, johon se on otettu käyttöön. "

Liittyvät: Microsoft Defender voi nyt estää Exchange Serverin käytön

Onko tämä ProxyLogonin loppu?

ProxyLogon on ollut vakava ongelma Microsoftin Exchange Server -asiakkaille. Hyökkäys on vaikuttanut kymmeniin tuhansiin palvelimiin, jotka kattavat kaiken muotoisia ja kokoisia yrityksiä.

ProxyLogon-haavoittuvuus kootti neljä nollapäivän hyökkäystä hyökätä Microsoft Exchange -palvelimiin. Haavoittuvuuden paljastamisen jälkeen useat teollisuudenalat ympäri maailmaa ilmoittivat hyökkäysten lisääntymisestä Microsoft Exchange Serverin kanssa asiakkaat ilmoittavat kryptovaluutan louhinnasta haittaohjelmista, erilaisista ransomware-ohjelmista, verkkokuorista ja muusta, jotka kaikki ovat haitallisten käyttäjien lähettämiä osapuolille.

An ESET Research -blogiviesti havaitsi, että "ainakin 10 APT [Advanced Persistent Threat] -ryhmää", jotka kaikki pyrkivät hyödyntämään haavoittuvuutta, hyökkäsivät Microsoft Exchange -palvelimet.

Huomasimme, että haavoittuvuuksia käyttivät muut uhkatoimijat, alkaen Tickistä, ja LuckyMouse, Calypso ja Winnti Group liittyivät niihin nopeasti. Tämä viittaa siihen, että useat uhkatoimijat saivat pääsyn haavoittuvuuksien yksityiskohtiin ennen korjaustiedosto, mikä tarkoittaa, että voimme hylätä mahdollisuuden, että he rakensivat hyödyntämisen Microsoftin käänteissuunnittelulla päivitykset.

ProxyLogon-haavoittuvuus ei ole aivan ohi. Haavoittuvia Microsoft Exchange -palvelimia on edelleen yli 20 000, mutta sekä asiakkaat että turvallisuusyritykset toivovat lopun olevan näkyvissä.

Kotimaan turvallisuus julistaa Microsoft Exchange Attackin "hätätilanteeksi"

Microsoft asettaa hyökkäyksen kansallisvaltioiden uhkatekijää vastaan.

Lue seuraava

Kirjailijasta