01/04/21
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США приказало федеральным агентствам повторно просканировать свои сети на предмет любых признаков взлома локальных серверов Microsoft Exchange и сообщить о результатах в течение пяти дней.
В марте нынешнего года CISA выпустило чрезвычайную директиву , предписывающую федеральным агентствам срочно обновить или отключить локальные серверы Exchange в связи с обнаружением критических уязвимостей ProxyLogon.
«В частности, федеральным департаментам и агентствам необходимо запустить скрипт Microsoft Test-ProxyLogon.ps1 и инструмент Microsoft Safety Scanner (MSERT) для расследования того, были ли их серверы Microsoft Exchange взломаны», — говорится в новом сообщении CISA.
Согласно новой директиве по чрезвычайным ситуациям, от госорганов также требуется обеспечить дополнительную защиту локальных серверов Exchange до 28 июня 2021 года. Обязательные меры по усилению защиты включают подготовку межсетевых экранов, установку обновлений в течение 48 часов после их выпуска, использование только поддерживаемых версий программного обеспечения, настройку ведения логов и установку защиты от вредоносных программ на всех локальных серверах.
Напомним, в начале марта стало известно, что уязвимости ProxyLogon начала активно использовать работающая на китайское правительство APT-группировка Hafnium. Вслед за Hafnium эксплуатировать уязвимости ProxyLogon начали хакерские группировки APT27, Bronze Butler/Tick и Calypso, поддерживаемые Китаем, а также группировки Winnti Group, Tonto Team, Mikroceen и пр.
