Вести с фронта: число уязвимых Microsoft Exchange сократилось до 80 000

Вести с фронта: число уязвимых Microsoft Exchange сократилось до 80 000

За последние две недели Microsoft выпустила патчи для устаревших, неподдерживаемых версий Exchange Server, чтобы защитить как можно больше пользователей от текущих атак с использованием новейших брешей (ProxyLogon). В итоге разработчику, по его оценкам, удалось прикрыть от эксплойта 95% версий Exchange-серверов, доступных из интернета.

По данным телеметрии RiskIQ, в начале текущего месяца Microsoft Exchange насчитывал около 400 тыс. активных установок. После выпуска патчей для поддерживаемых версий продукта число уязвимых серверов за неделю сократилось почти до 100 тысяч (125 тыс., по оценке Palo Alto Networks). К 11 марта этот показатель, согласно статистике RiskIQ, снизился до 82,7 тыс., так как Microsoft начала латать также версии Exchange Server, снятые с поддержки.

На тот момент наибольшее количество уязвимых установок (из-за отсутствия заплат или по нерадивости пользователей) приходилось (данные исследования RiskIQ привела компания Тайгер Оптикс) на долю Exchange 2013 и 2016. Список стран, в которых расположены непропатченные серверы, возглавляли США (23,8%) и Германия (13,7%). Россия в этом антирейтинге занимала шестое место с долей около 3,9%.

 

Среди открытых для эксплойта организаций эксперты обнаружили 312 банков, 335 медучреждений, 105 фармацевтических предприятий и 153 сервера госструктур (в доменах TLD-зоны .gov).

Наблюдатели из Check Point тоже обновили свою статистику, отметив, что в период с 11 по 15 марта число ежедневных попыток эксплуатации уязвимостей в Microsoft Exchange Server возросло на порядок и теперь измеряется тысячами. Наибольшее количество атак (17%) замечено в США, на Россию пришлось 4% таких попыток взлома. В разделении по вертикалям основные мишени злоумышленников остались прежними — правительственные и военные организации (доля возросла до 23% атак), промышленность и финансы (в обоих случаях показатели несколько снизились).

Хотя число уязвимых экземпляров Microsoft Exchange неуклонно снижается, это происходит медленнее, чем хотелось бы. В RiskIQ полагают, что некоторые организации просто не осознают, что их серверы открыты из интернета, — обычно этим отличаются новоявленные пользователи. Кроме того, многие Exchange Server уже нельзя пропатчить — только через апгрейд. Представляя хронологию выпуска заплат, Microsoft не зря отметила, что хотфиксы для устаревших сборок — лишь временная мера, пользователям все равно придется в итоге произвести обновление до актуальной версии и вновь применить патч.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимость в модемах Qualcomm актуальна для миллионов Samsung Galaxy

Компания Samsung подтвердила, что раскрытая на прошлой неделе уязвимость в чипсетах Qualcomm Technologies линейки MSM затрагивает ее Android-устройства. Согласно описанию Check Point, данная брешь позволяет получить доступ к истории звонков и СМС-сообщениям пользователя, а также прослушивать его разговоры.

Системы на чипе MSM (Mobile Station Modem) производства Qualcomm Technologies обеспечивают подключение мобильных устройств к сетям 2G, 3G, 4G и 5G. По словам авторов опасной находки, уязвимость CVE-2020-11292 в MSM связана с использованием проприетарного протокола QMI (Qualcomm MSM Interface), позволяющего Android обмениваться данными с процессором модема.

Эксплуатация уязвимости осуществляется передачей в MSM запроса с параметрами в TLV-формате (Type-Length-Value), способного при обработке вызвать переполнение буфера в куче. В итоге автор атаки сможет скрытно установить вредоносный код на смартфон и шпионить за жертвой. Данную проблему можно также использовать для разблокировки СИМ-карты с целью обхода ограничений, установленных сервис-провайдером.

Исследователи известили Qualcomm о своей находке в октябре прошлого года. Разработчик выпустил патч и предоставил исходники OEM-провайдерам в декабре.

Чипсеты MSM присутствуют во многих мобильных устройствах, однако далеко не все из них используют QMI — по данным Check Point, порядка 30% всех смартфонов в мире. Выявленная экспертами проблема затронула также изделия Samsung, и производитель начал выпускать соответствующие обновления.

Этот процесс, по словам вендора, был запущен еще в январе, и с выходом майских обновлений для Android большую часть устройств Samsung, по ее оценкам, удалось защитить от эксплойта. Сколько из них в реальности получили патчи, определить трудно из-за большой фрагментарности экосистемы Android. Как бы то ни было, создатель популярных смартфонов призывает пользователей не пренебрегать обновлениями и всегда устанавливать их по мере выхода.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru