Exchange 03/2021 cyberattack (CZ/EN)

Exchange 03/2021 cyberattack (CZ/EN)

Ahoj,

s největší pravděpodobností jste všichni slyšeli o nepříjemnosti, co se stala Microsoftu se zero day zranitelností MS Exchange. Jsou toho zase plná média. Pokud ne, tak zde je celkem pěkná zpráva na mém oblíbeném zdroji bezpečnostních informací: https://isc.sans.edu/

NUKIB vydal následující upozornění. (trošku níže zjednoduším obsah):

  • Zkontrolujte, zda se to týká i Vás nebo Vašich dodavatelů
    Naše odpověď: Ne, LOGmanager (Sirwisa a.s.) nepoužívá Microsoft Exchange. U sebe musíte zkontrolovat dle seznamu sami ;-). viz další bod.
  • V případě, že používáte produkt potenciálně postižený kybernetickým útokem, vyhledejte zda došlo ke kompromitaci, proveďte bezpečnostní analýzu, implementujte opravné balíčky, resetujte hesla, monitorujte, auditujte, reportujte, … (prostě jako obvykle).
    Naše odpověď: Prostřednictvím LOGmanageru lze velmi snadno provést rychlé prohledání všech logů zpětně a nalézt možné IOC (indikátory kompromitování). Nebo vytvořit report, ve kterém uvidíte, zda byla v logách nalezena zmínka o kompromitaci. Nebo vytvořit alert, který Vás v reálném čase bude informovat o nalezení IOC.  Na našem uživatelském fóru: user forum naleznete připravené dashboardy, alert i popis co a jak. Tak zkuste. Radikální jednoduchost, nehledejte za tím nějaké složitosti. Dashboardy prostě prohledají časový úsek dle vašeho výběru pro výskyt IOC řetězců jak podle IP adres, tak podle IIS HTTP POST dotazů i MS Exchange ECP logu.

Zůstaňte v bezpečí.

Mirek

Hi Folks,

I expect all of You hear about the critical zero day security flaw in Microsoft Exchange, which is being actively exploited. It was all over in the news as usually. If not read about it yet – have a look here for the fairly good explanation on my preferred source of security feeds : https://isc.sans.edu/

We have seen notifications from local cybersecurity advisory teams requesting (simplified):

  • 1) Check if Your vendor had not been compromised as well
    Our response: No, LOGmanager does not use any of the affected products in its environment. In Your environment, You have to check on Your own ;-).
  • 2) Check, if You do not use affected product. If yes, find the indicators of compromise, do additional research, fix, report, … (as usual).
    Our response: It is easy to search all Your logs many months back in the dashboards. Or create out of it a report to see, if there was some communication from Your network to described IOC destinations, or indicators from Exchange/IIS logs. You can deploy also real-time alert if any IOC will be seen by LOGmanager. Check our user forum for prepared dashboards/alert and give a try. Radical simplicity, dashboard just display if there were logs containing any of the IOC’s. If You wish, You can run it as report for last month, or just be patient and run the dashboard for a custom time range.

Stay safe.

Mirek

 

logo
© 2021 Sirwisa a. s. Všechna práva vyhrazena.