Conform acestei știri (link aici) , peste 30.000 de organizații din Statele Unite au căzut pradă unui grup de hackeri chinezi. Aceștia au folosit 4 vulnerabilități existente pentru a intercepta și fura corespondența electronică a victimelor.
Deși cei de la Microsoft au lansat pe 2 martie un patch de securitate care remediază cele 4 vulnerabilități, hackerii chinezi nu s-au oprit. Aceștia au folosit alte breșe de securitate existente și neremediate pentru a compromite serverele Microsoft Exchange.
Pe fiecare server compromis, atacatorii au lăsat în urma lor o platformă de logare pe bază de utilizator și parolă, pe care să o poată folosi facil, direct din browser, pentru a avea în continuare acces la corespondența victimelor.
Pentru a diminua șansele ca serverele să fie compromise, Microsoft recomandă efectuarea actualizărilor imediat ce apar, dar oferă și asistența tehnică sporită companiilor ce au fost deja hăckuite.
Patch-urile apărute pe 2 martie remediază vulnerabilitățile, dar dacă serverele au fost deja compromise, totul rămâne neschimbat. Din păcate, actualizările nu pot întrerupe accesul malițios pe servere.
Cei de la Microsoft pun la dispoziția companiilor și un script, accesibil în mod gratuit de pe GitHub (link aici), pentru a permite administratorilor de sistem să verifice dacă serverul Exchange este compromis sau nu.
Întrucât este vorba de anumite vulnerabilități exploatate de către hackeri, împiedicarea acestor atacuri este aproape imposibilă fără suportul Microsoft.
Cum poate departamentul IT care se ocupă de compania dumneavoastră să remedieze această problemă?
Cea mai simplă metodă de remediere este să restaurați un backup anterior atacului și să faceți serverul inaccesibil pe internet, până finalizați instalarea celor 4 pachete de securitate.
Din punct de vedere operațional, se poate anunța o fereastră de mentenanță și se pot implementa aceste modificări în afara orelor de program, pentru a limita impactul asupra business-ului.
Ce trebuie să reținem din această întreagă poveste?
Backup-ul este sfânt. Este crucial să existe o politică solidă de backup (link aici) care să permită restaurarea întregului server cât mai rapid.
La fel de important este ca departamentul IT să fie la curent cu știrile de securitate și să efectueze actualizările cât mai rapid de la momentul apariției lor.
RezolvIT este o companie de outsourcing IT (link aici) care reușește cu brio să susțină companiile cu care lucrează, fie că ne referim la securizarea infrastructurii (link aici) sau la facilitarea angajaților să își desfășoare activitatea remote.
Categorised in: Abonamente, Diverse, Sfaturi Utile, Toate
