Агентство з кібербезпеки та безпеки інфраструктури США (CISA) і Агентство національної безпеки (NSA) спільно з міжнародними партнерами з Австралії та Канади оприлюднили рекомендації щодо посилення захисту локальних серверів Microsoft Exchange від можливих кібератак.
«Обмежуючи адміністративний доступ, впроваджуючи багатофакторну автентифікацію, налаштовуючи суворі конфігурації транспортної безпеки та застосовуючи принципи моделі безпеки з нульовою довірою, організації можуть суттєво посилити свій захист від потенційних кібератак», — повідомили в CISA.
За словами представників відомств, зловмисна активність, спрямована на Microsoft Exchange Server, продовжується, причому основний тягар атак припадає на незахищені та неправильно налаштовані екземпляри. Організаціям рекомендують виводити з експлуатації локальні або гібридні сервери Exchange після переходу на Microsoft 365.
Ключові рекомендації щодо захисту Microsoft Exchange
Серед найкращих практик, викладених в документі:
- Підтримувати оновлення безпеки та регулярність встановлення виправлень
- Мігрувати сервери Exchange, термін підтримки яких завершився
- Забезпечити активність служби екстреного пом’якшення Exchange
- Застосовувати базові конфігурації безпеки Exchange Server, Windows і клієнтів електронної пошти
- Увімкнути антивірусне рішення, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR), AppLocker, App Control for Business, засоби виявлення та реагування на загрози кінцевих точок, а також функції Exchange Server для боротьби зі спамом і шкідливим ПЗ
- Обмежити адміністративний доступ до Exchange Admin Center (EAC) і віддаленого PowerShell, застосовуючи принцип найменших привілеїв
- Посилити автентифікацію та шифрування шляхом налаштування Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos і Server Message Block (SMB) замість NTLM, а також багатофакторної автентифікації
- Вимкнути доступ користувачів до віддаленого PowerShell в Exchange Management Shell (EMS)
«Захист серверів Exchange є критично важливим для підтримки цілісності та конфіденційності корпоративних комунікацій і функцій, — зазначили представники відомств. — Постійна оцінка та посилення кібербезпеки цих комунікаційних серверів має вирішальне значення для випередження кіберзагроз, що еволюціонують, та забезпечення надійного захисту Exchange як частини операційного ядра багатьох організацій».
Захист WSUS від маніпуляцій
Windows Server Update Services (WSUS) представляє особливий ризик, оскільки через цю службу зловмисники можуть поширювати шкідливе програмне забезпечення, маскуючи його під легітимні оновлення Windows.
Основні рекомендації для WSUS включають:
- Налаштування SSL/TLS шифрування для всіх з’єднань
- Регулярна перевірка цілісності оновлень
- Ізоляція WSUS сервера в окремому сегменті мережі
- Впровадження строгих правил брандмауера
- Аудит всіх змін конфігурації
Експерти підкреслюють, що компрометація WSUS сервера може призвести до масштабного зараження всієї корпоративної мережі, оскільки зловмисники отримують можливість встановлювати шкідливе ПЗ на всі підключені комп’ютери.
CISA оновила попередження щодо CVE-2025-59287
Рекомендації з’явилися через день після того, як CISA оновила своє попередження, додавши інформацію про CVE-2025-59287 — недавно повторно виправлену вразливість в компоненті Windows Server Update Services (WSUS), яка може призвести до віддаленого виконання коду.
Відомство рекомендує організаціям:
- Виявити сервери, вразливі до експлуатації
- Встановити позапланове оновлення безпеки від Microsoft
- Розслідувати ознаки загрозливої активності в своїх мережах
- Моніторити підозрілу активність і дочірні процеси, запущені з правами рівня SYSTEM, особливо ті, що походять від wsusservice.exe та/або w3wp.exe
- Відстежувати вкладені процеси PowerShell із використанням команд PowerShell, закодованих у base64
Активна експлуатація вразливості
За інформацією Sophos, зловмисники використовують цю вразливість для збору конфіденційних даних з організацій у різних галузях, зокрема університетів, технологічних компаній, підприємств виробництва та охорони здоров’я. Експлуатацію вразливості вперше виявили 24 жовтня 2025 року — через день після випуску оновлення Microsoft.
Під час цих атак зловмисники використовують вразливі сервери Windows WSUS для виконання команд PowerShell, закодованих у Base64, і передачі результатів на кінцеву точку webhook[.]site, що підтверджують звіти від Darktrace, Huntress і Palo Alto Networks Unit 42.
Компанія Sophos повідомила, що наразі виявила шість інцидентів у своїх клієнтських середовищах, хоча подальше дослідження зафіксувало щонайменше 50 постраждалих.
«Ця активність свідчить, що зловмисники швидко перейшли до експлуатації цієї критичної вразливості WSUS для збору цінних даних з вразливих організацій, — заявив Рейф Піллінг, директор із розвідки загроз Sophos Counter Threat Unit. — Цілком можливо, що це була початкова фаза тестування або розвідки, і зараз атакувальники аналізують зібрані дані для виявлення нових можливостей проникнення. Наразі ми не спостерігаємо подальшої масової експлуатації, але ще рано, тому фахівці з безпеки повинні сприймати це як раннє попередження. Організаціям слід переконатися, що їхні системи повністю оновлені, а сервери WSUS налаштовані безпечно, щоб зменшити ризик експлуатації».
Майкл Хааг, провідний інженер-дослідник загроз у Splunk (належить Cisco), зазначив у публікації в X, що CVE-2025-59287 «виявилася глибшою, ніж очікувалося», і його команда виявила альтернативний ланцюжок атаки, який передбачає використання бінарного файлу Microsoft Management Console (mmc.exe) для запуску cmd.exe, коли адміністратор відкриває консоль адміністрування WSUS або натискає «Reset Server Node».
«Цей шлях викликає збій у журналі подій 7053», — зауважив Хааг, додавши, що це відповідає трасуванню стека, виявленому компанією Huntress у файлі C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log.
Міжнародна співпраця у сфері кібербезпеки
Випуск спільних рекомендацій демонструє зростаючу важливість міжнародної співпраці у боротьбі з кіберзагрозами. Партнери з Австралії та Канади надали свій досвід та дані про атаки, що дозволило створити більш комплексний документ.
Представники агентств зазначають, що сучасні кіберзагрози не знають кордонів, тому координація зусиль між країнами стає критично важливою для ефективного захисту цифрової інфраструктури.
Практичні кроки для впровадження
Організаціям рекомендується негайно оцінити поточний стан безпеки своїх Exchange та WSUS серверів. Процес впровадження рекомендацій варто розпочати з найбільш критичних заходів:
- Аудит поточних налаштувань безпеки
- Встановлення всіх доступних оновлень
- Налаштування системи моніторингу
- Навчання персоналу новим процедурам безпеки
Експерти радять не відкладати впровадження цих заходів, оскільки кіберзлочинці постійно шукають нові способи експлуатації вразливостей у корпоративних системах.
Довгострокова стратегія безпеки
Окрім негайних заходів, документ CISA та NSA підкреслює важливість розробки довгострокової стратегії кібербезпеки. Це включає регулярний перегляд політик безпеки, проведення тестування на проникнення та створення планів реагування на інциденти.
Агентства також рекомендують організаціям розглянути можливість переходу на хмарні рішення Microsoft, які забезпечують вищий рівень безпеки та автоматичні оновлення. Однак для тих, хто продовжує використовувати локальні сервери, дотримання нових рекомендацій стає обов’язковим.
Випуск цих рекомендацій підкреслює постійну еволюцію кіберзагроз та необхідність проактивного підходу до захисту критичної IT-інфраструктури. Організації, які швидко впровадять ці заходи, значно знизять ризик успішних кібератак на свої системи.
Ця стаття виявилася цікавою? Слідкуйте за нами в Threads, Facebook або Telegram, щоб читати більше ексклюзивного контенту.
