Microsoft Exchange Exploits

– Hur Conscia kan hjälpa er utreda och övervaka system angripna genom Proxylogon

Dagen då katastrofen inträffade, …ungefär så kommer den 2 mars, 2021 att gå till historieböckerna inom IT och för många verksamheter. En incident av globala proportioner blev då allmänt känd genom publiceringen av en säkerhetsvarning och en patch för fyra dittills i stort sett okända säkerhetshål på Microsoft Exchange Server, senare kollektivt kallade Proxylogon.

Microsoft Exchange Exploits av Proxylogon sårbarheter. Hur Conscia kan hjälpa
Under dagarna före och efter publiceringen skedde en massiv våg av attacker mot hundratusentals offentligt exponerade Exchange-servrar genom Microsoft Exchange Exploits (attackmetoder) som utnyttjade dessa fyra sårbarheter; tusentals svenska system är påverkade. Angriparna, förmodligen en kinesisk statligt ansluten grupp, känd som Hafnium, ville utnyttja de stora säkerhetsbristerna så långt som möjligt innan dessa Zero Day-Exploits (okända säkerhetsbrister) stoppades genom Microsofts offentliggörande av dem.

Den skada som dessa Microsoft Exchange Exploits kan vålla är enorm. Angriparna kan:

  • Få åtkomst till innehållet i alla brevlådor på den infekterade Exchange-servern.
  • Skriva filer till Exchange Server-filsystemet, manipulera serverns konfiguration och på så sätt använda den infekterade servern som en språngbräda för ytterligare attacker mot det interna nätverket.

Många företag var snabba med att patcha sina servrar från Proxylogon och ta bort Microsoft Exchange Exploits. Är saken därmed utagerad? Tyvärr inte, beroende på hur långt angriparna har utnyttjat dessa Exploits potential kan bakdörrar eller liknande skadlig kod finnas och vänta på senare aktivering i andra delar av nätverket. Det finns många fall där de faktiska attackerna inte inträffade förrän veckor och månader efter den första åtkomsten till nätverket.

Inom ramen för Conscia Cybersäkerhet erbjuder vi därför följande tjänster mot Microsoft Exchange Server Exploits:

  • Forensisk analys av vårt incidenthanteringsteam för att avgöra om er verksamhets Exchange-servrar fortfarande påverkas av dessa Exploits och i vilken utsträckning de har äventyrats genom exempelvis datastöld eller vidare spridning i nätverket.
  • Realtidsövervakning av Exchange-servrarna och andra potentiellt infekterade system i minst 30 dagar eller längre, genom att installera en passiv XDR (Extended Detection & Response) -agent och 24×7 övervakning av vårt Security Operations Center.
  • Stöd i att rensa och reparera systemen, efter behov.
  • Utvärdering av det inträffade: för de flesta av de berörda företagen kunde attacken ha undvikits genom lämpliga organisatoriska och tekniska åtgärder. Vi har sett multipla försvarslinjer falla här, och de drabbade bör snarast fråga sig hur detta kunde hända och hur det kan undvikas i framtiden.

Vi står i beredskap och är tillgängliga om ditt företag behöver support.

Kontakta oss

_________________________________________________________________________________________________________________

Cyberattacker - stoppa cybertjuvar med SOC Conscia WhitepaperStoppa cybertjuvar från att stoppa affärer

”200 dagar… …hur kunde vi missa det?”

Varje år tvingar cyberkriminella verksamheter världen över att inse begränsningarna hos traditionella förebyggande IT-skyddsåtgärder. Idag går det inte längre att hålla alla hot ute. Ett fullgott IT-skydd kräver en stark förmåga till snabb detektion och respons. Men hur får man till en omedelbar respons till cyberattacker?

Ladda ned ditt kostnadsfria whitepaper Stoppa cybertjuvar från att stoppa affärer här!

__________________________________________________________________________________________________________________

Kontakta oss!
Svar inom 24h