Новые меры кибербезопасности: CISA и NSA предупреждают об угрозах для WSUS и Exchange Server
Дата: 31.10.2025Просмотров: 2220
Новые меры кибербезопасности: CISA и NSA предупреждают об угрозах для WSUS и Exchange Server
Агентство кибербезопасности и инфраструктуры США (CISA) совместно с Агентством национальной безопасности США (NSA), а также партнёрами из Австралии и Канады представили обновлённый комплекс мер по защите серверов Microsoft Exchange Server. Специалисты акцентируют внимание на необходимости усиления защиты локальных экземпляров ПО от потенциальных кибератак.
Ключевые рекомендации по защите Exchange Server
По мнению экспертов CISA, существенно повысить устойчивость инфраструктуры к кибератакам позволяют следующие меры:
-внедрение многофакторной аутентификации;
-ограничение административного доступа;
-настройка строгих параметров безопасности на транспортном уровне;
-применение принципов модели «нулевого доверия» (Zero Trust, ZT).
Аналитики отмечают: основная угроза исходит от некорректно настроенных и недостаточно защищённых экземпляров Exchange Server. В качестве превентивной меры организациям советуют отказаться от эксплуатации устаревших локальных и гибридных серверов после перехода на Microsoft 365.
Перечень приоритетных действий
Для минимизации рисков эксперты рекомендуют реализовать следующий набор практик:
1. Регулярно устанавливать обновления безопасности и патчи.
2. Мигрировать с устаревших версий Exchange Server.
3. Активировать службу аварийного смягчения последствий Exchange.
4. Соблюдать базовые стандарты безопасности:
-для Exchange Server;
-для Windows;
-для почтовых клиентов.
5. Внедрить комплексные защитные решения:
-антивирусное ПО;
-интерфейс сканирования вредоносных программ Windows (AMSI);
-механизмы сокращения поверхности атак (ASR);
-AppLocker и App Control for Business;
-системы обнаружения и реагирования на конечные точки;
-встроенные функции Exchange Server для борьбы со спамом и вредоносным ПО.
6. Ограничить доступ к инструментам администрирования:
-Центр администрирования Exchange (EAC);
-удалённый PowerShell (применять принцип наименьших привилегий).
7. Усилить механизмы аутентификации и шифрования через настройку:
-Transport Layer Security (TLS);
-HTTP Strict Transport Security (HSTS);
-Extended Protection (EP);
-Kerberos;
-Server Message Block (SMB) вместо NTLM;
-многофакторной аутентификации.
Отключить удалённый доступ пользователей к PowerShell в командной консоли Exchange (EMS).
«Безопасность серверов Exchange — ключевой фактор сохранения конфиденциальности и целостности корпоративных коммуникаций», — подчёркивают представители агентств. Они настаивают на постоянном мониторинге и укреплении киберзащиты этих систем, чтобы опережать эволюцию угроз.
Уязвимость CVE‑2025‑59287 в WSUS: экстренные меры
Публикация рекомендаций совпала с обновлением оповещения CISA о уязвимости CVE‑2025‑59287 в компоненте служб обновления Windows Server (WSUS). Эта брешь позволяет злоумышленникам осуществлять удалённое выполнение кода.
Действия для организаций:
-выявить серверы, подверженные эксплуатации уязвимости;
-установить внеплановое обновление от Microsoft;
-проанализировать сети на признаки подозрительной активности.
Критические индикаторы угрозы:
-процессы с правами уровня SYSTEM, запущенные через wsusservice.exe или w3wp.exe;
-вложенные процессы PowerShell с командами, закодированными в формате Base64.
Хронология и масштабы атаки
Согласно данным компании Sophos, злоумышленники активно используют уязвимость для сбора конфиденциальных данных в организациях США (сектора: образование, технологии, производство, здравоохранение). Эксплуатация бреши была зафиксирована 24 октября 2025 года — на следующий день после выпуска обновления Microsoft.
Механизм атаки:
1. Злоумышленники задействуют уязвимые серверы WSUS для выполнения команд PowerShell (в формате Base64).
2. Результаты передаются на конечную точку webhook[.]site.
На текущий момент выявлено:
-6 подтверждённых инцидентов в средах клиентов Sophos;
-не менее 50 потенциальных жертв по итогам дополнительного расследования.
Экспертные оценки
Рейф Пиллинг (директор по анализу угроз Sophos Counter Threat Unit) отмечает: «Злоумышленники оперативно воспользовались критической уязвимостью в WSUS для извлечения ценных данных. Это может быть этапом разведки — сейчас они анализируют информацию для новых атак».
Майкл Хааг (ведущий инженер по исследованию угроз Splunk, Cisco) указывает на неожиданную глубину уязвимости CVE‑2025‑59287. Его команда обнаружила альтернативную цепочку атак:
-использование двоичного файла консоли управления Microsoft (mmc.exe) для запуска cmd.exe;
-активация при открытии администратором консоли WSUS или нажатии кнопки «Сброс узла сервера»;
-генерация сбоя журнала событий 7053, совпадающего с трассировкой из файла C:Program FilesUpdate ServicesLogfilesSoftwareDistribution.log (данные Huntress).
Вывод: организациям необходимо срочно проверить актуальность обновлений и безопасность настроек WSUS, чтобы минимизировать риски эксплуатации уязвимости.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Microsoft и OpenAI: цена партнёрства — $3,1 млрд убытка в квартале
Microsoft и OpenAI: цена партнёрства — $3,1 млрд убытка в квартале
Инвестиции в OpenAI ощутимо сказались на финансовых результатах Microsoft: по итогам первого квартала 2026 финансового года (завершился 30 сентября) чистая прибыль компании сократилась на $3,1 млрд, а показатель прибыли на акцию снизился на $0,41. Такие данные корпорация раскрыла в квартальном отчёте.
Cocoon от Telegram: как превратить видеокарту в источник TON‑токенов через ИИ‑майнинг
Cocoon от Telegram: как превратить видеокарту в источник TON‑токенов через ИИ‑майнинг
На мероприятии Blockchain Life 2025 Павел Дуров анонсировал инновационный проект Cocoon — децентрализованную платформу, которая интегрирует технологии искусственного интеллекта, блокчейна и сервисы экосистемы Telegram. Инициатива открывает новую главу в концепции «майнинга»: вместо традиционной добычи криптовалют пользователи смогут зарабатывать токены TON, предоставляя вычислительные ресурсы для решения ИИ‑задач.
Meta отвергает обвинения в скачивании порно‑контента для ИИ: версия о «личном использовании» под вопросом
Meta отвергает обвинения в скачивании порно‑контента для ИИ: версия о «личном использовании» под вопросом
Компания Meta оказалась в центре громкого правового спора: её обвиняют в систематическом скачивании контента для взрослых с торрент‑трекеров — якобы для обучения систем искусственного интеллекта. В ответ корпорация настаивает: речь идёт лишь о единичных загрузках «для личных нужд», а доказательств применения такого материала в ИИ‑разработках попросту нет.