Вести с фронта: число уязвимых Microsoft Exchange сократилось до 80 000

Татьяна Никитина 19 Марта 2021 - 15:59

Домашние пользователи

...

За последние две недели Microsoft выпустила патчи для устаревших, неподдерживаемых версий Exchange Server, чтобы защитить как можно больше пользователей от текущих атак с использованием новейших брешей (ProxyLogon). В итоге разработчику, по его оценкам, удалось прикрыть от эксплойта 95% версий Exchange-серверов, доступных из интернета.

По данным телеметрии RiskIQ, в начале текущего месяца Microsoft Exchange насчитывал около 400 тыс. активных установок. После выпуска патчей для поддерживаемых версий продукта число уязвимых серверов за неделю сократилось почти до 100 тысяч (125 тыс., по оценке Palo Alto Networks). К 11 марта этот показатель, согласно статистике RiskIQ, снизился до 82,7 тыс., так как Microsoft начала латать также версии Exchange Server, снятые с поддержки.

На тот момент наибольшее количество уязвимых установок (из-за отсутствия заплат или по нерадивости пользователей) приходилось (данные исследования RiskIQ привела компания Тайгер Оптикс) на долю Exchange 2013 и 2016. Список стран, в которых расположены непропатченные серверы, возглавляли США (23,8%) и Германия (13,7%). Россия в этом антирейтинге занимала шестое место с долей около 3,9%.

Среди открытых для эксплойта организаций эксперты обнаружили 312 банков, 335 медучреждений, 105 фармацевтических предприятий и 153 сервера госструктур (в доменах TLD-зоны .gov).

Наблюдатели из Check Point тоже обновили свою статистику, отметив, что в период с 11 по 15 марта число ежедневных попыток эксплуатации уязвимостей в Microsoft Exchange Server возросло на порядок и теперь измеряется тысячами. Наибольшее количество атак (17%) замечено в США, на Россию пришлось 4% таких попыток взлома. В разделении по вертикалям основные мишени злоумышленников остались прежними — правительственные и военные организации (доля возросла до 23% атак), промышленность и финансы (в обоих случаях показатели несколько снизились).

Хотя число уязвимых экземпляров Microsoft Exchange неуклонно снижается, это происходит медленнее, чем хотелось бы. В RiskIQ полагают, что некоторые организации просто не осознают, что их серверы открыты из интернета, — обычно этим отличаются новоявленные пользователи. Кроме того, многие Exchange Server уже нельзя пропатчить — только через апгрейд. Представляя хронологию выпуска заплат, Microsoft не зря отметила, что хотфиксы для устаревших сборок — лишь временная мера, пользователям все равно придется в итоге произвести обновление до актуальной версии и вновь применить патч.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Июня 2026 - 16:11

Windows Уязвимости программ Домашние пользователи Корпорации Microsoft

Одна ссылка в Copilot могла слить почту, содержимое OneDrive и SharePoint

Исследователи из Varonis Threat Labs обнаружили в Microsoft 365 Copilot опасную уязвимость SearchLeak, которая позволяла злоумышленникам похищать корпоративные данные буквально через одну ссылку. Под угрозой оказались электронная почта, заметки встреч, документы OneDrive, файлы SharePoint и другие данные, к которым пользователь имел доступ через Copilot.

Схема атаки выглядела так: злоумышленник отправлял жертве специальную ссылку на Microsoft 365 Copilot Search через почту, Slack или любой другой канал связи.

Внутри ссылки был спрятан вредоносный запрос, который Copilot воспринимал как инструкцию к действию. После открытия такой ссылки ИИ мог получить доступ ко внутренним данным пользователя, найти нужные письма или документы и передать информацию на сервер атакующего.

Особенно неприятен тот факт, что для работы атаки не требовалось скачивать файлы, устанавливать расширения или запускать подозрительные программы. Достаточно было открыть ссылку.

Для обхода защитных механизмов исследователи использовали хитрую комбинацию. Данные выводились через специальный тег изображения, связанный с сервисом поиска по картинкам Bing. Поскольку Bing является доверенным сервисом Microsoft, часть стандартных ограничений безопасности фактически обходилась.

В результате злоумышленники теоретически могли получать темы писем, содержимое сообщений, коды многофакторной аутентификации, ссылки для сброса паролей, данные встреч и конфиденциальные корпоративные документы.

В Microsoft уже закрыли проблему. Уязвимость получила идентификатор CVE-2026-42824, её закрыли на стороне сервиса. Пользователям дополнительно ничего делать не нужно.

Однако исследователи считают, что история гораздо серьёзнее одной конкретной ошибки. По их мнению, SearchLeak демонстрирует целый класс рисков, характерных для корпоративных ИИ-помощников, которые одновременно работают с внешними данными, внутренними документами и способны выполнять действия от имени пользователя.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!