Компания «РуПост» (ГК «Астра») обновила систему управления корпоративной почтой RuPost 2.0. Одно из основных новшеств — поддержка кластера с разными уровнями балансировки, включая «умную балансировку» с учетом загрузки узлов и привязки пользователей по нодам кластера. Изменения затронули и модель лицензирования: теперь заказчик платит только за клиентские лицензии, а количество отдельно стоящих или включенных в отказоустойчивый кластер серверов может быть любым.

Как утверждают в компании, новая версия RuPost расширяет возможности управлениями ресурсными ящиками с поддержкой авторезервирования, также продолжается наращивание возможностей командного интерфейса (CLI) для автоматизации рутинных операций и тонкой настройки системы. Кроме того, обновлена версия плагина для Microsoft Outlook, предназначенного для работы с календарями, задачами, контактами и корпоративной адресной книгой.

Источник: РуПост

Также в новом релизе появилась возможность создания и добавления собственных (custom) шаблонов, чтобы поддержать работу почтового сервера в специфичных или гетерогенных инфраструктурах заказчика. Переносить данные почтовых ящиков с Microsoft Exchange Server на почтовый сервер RuPost теперь можно с помощью инструмента RuPost Migration Tool. Вместе с этим поддерживается режим сосуществования с Microsoft Exchange в одном почтовом домене в процессе миграции.

Компания Rackspace Technology, провайдер облачных услуг, раскрыла причины масштабного инцидента, из-за которого пришлось отключить службу Microsoft Exchange. Как сообщает ресурс Datacenter Dynamics, причиной сбоя послужил эксплойт для уязвимости «нулевого дня».

Хакерская атака была организована в начале декабря 2022 года. Компания заявила, что причиной послужило проникновение в IT-инфраструктуру программы-вымогателя. Справиться с последствиями инцидента Rackspace не может несколько недель, а службу Microsoft Exchange пришлось отключить. Калифорнийская Cole & Van Note уже подала коллективный иск против Rackspace в связи с недоступностью облачных сервисов.

Источник изображения: Rackspace

Как теперь стало известно, для проведения атаки злоумышленник использовал ранее неизвестный эксплойт для уязвимости, описанной в бюллетене Microsoft CVE-2022-41080. Изначально говорилось, что брешь позволяет злоумышленнику повысить привилегии в атакуемой системе. Но затем выяснилось, что дыра может использоваться для удалённого выполнения произвольного кода (CVE-2022-41082) через Outlook Web Access (OWA). Атака было проведена с использованием зловредов семейства PLAY (PlayCrypt). Аналогичные атаки проводятся с лета 2022 года, нацелены они на организации в Латинской Америке, Европе и Индии.

Rackspace опровергла предположения о том, что первопричиной инцидента стал эксплойт ProxyNotShell. Сторонний эксперт сообщил Dark Reading, что Rackspace воздерживалась от применения патча для ProxyNotShell из-за опасений по поводу возможных «ошибок аутентификации», которые, предположительно, могли вывести из строя её службы Exchange. В результате, это промедление обернулось масштабным сбоем, хотя компания в итоге и реализовала рекомендованные Microsoft меры безопасности.

Что касается сервисов Hosted Exchange, то возобновлять их работу Rackspace не планирует. Компания всё ещё работает над восстановлением пользовательских данных. Говорится, что из почти 30 тыс. пользователей Hosted Exchange злоумышленник получил доступ к PST-файлам 27 клиентов. Для более половины пострадавших данные восстановлены частично или полностью, но возможностью их загрузки мало кто воспользовался. «Это указывает нам на то, что многие из наших клиентов имеют локальные резервные копии или архивы, а поэтому не нуждаются в восстановленной информации», — подчёркивается в сообщении.

Компания Rackspace Technology, провайдер облачных услуг, по-прежнему не может устранить последствия серьёзного сбоя, из-за которого пришлось отключить службу Microsoft Exchange. Инцидент произошёл около двух недель назад из-за атаки программы-вымогателя.

Ранее сообщалось, что атака затронула только Exchange, но компания ввела дополнительные меры защиты для других сервисов. Впоследствии калифорнийская Cole & Van Note подала коллективный иск против Rackspace в связи с недоступностью облачных сервисов. Для расследования инцидента компания обратилась за помощью к специалистам CrowdStrike. Однако о сроках полного восстановления работоспособности служб ничего не известно.

Источник изображения: Rackspace

Восстановительные работы продолжаются и по сей день. В Rackspace отмечают, что примерно две трети клиентов переведены на платформу Microsoft 365. Тем не менее, пользователи продолжают жаловаться в социальных сетях на часы ожидания при обращениях в службу работы с клиентами, плохую поддержку и отсутствие информации о том, когда возобновится работа сервисов.

«Мы понимаем, насколько важно восстановление данных для наших заказчиков. В случае атак программ-вымогателей усилия по возобновлению работы занимают значительное время как из-за характера нападения, так и из-за необходимости соблюдения дополнительных протоколов безопасности. Мы будем продолжать держать вас в курсе событий», — заявляет Rackspace.

Калифорнийская Cole & Van Note сообщила о подаче коллективного иска против компании Rackspace Technology, провайдера облачных услуг. Причиной для судебного разбирательства стал масштабный сбой, из-за которого пришлось отключить службу Hosted Exchange. Сервисы Exchange подверглись атаке программы-вымогателя. В компании не раскрывают масштаб возможной утечки данных, отмечая, что расследование инцидента находится на начальной стадии.

В результате атаки и отключения сервисов рыночная капитализация Rackspace на текущей неделе упала с $1 млрд до $670 млн. Для сравнения: в прошлом году компания была оценена более чем в $5 млрд. Сейчас Rackspace устраняет последствия инцидента и пытается перевести клиентов на Microsoft 365. Пока не ясно, собирается ли компания платить выкуп злоумышленникам. Сведений о сроках восстановления работоспособности облачных служб также нет.

Источник изображения: Rackspace Technology

В поданном коллективном иске Cole & Van Note требует от Rackspace денежную компенсацию за нанесённый клиентам ущерб в связи с недоступностью сервисов. Кроме того, инициаторы разбирательства намерены получить гарантии того, что Rackspace внедрит необходимые протоколы безопасности, в частности, средства резервного копирования информации.

Компания Rackspace Technology, провайдер облачных услуг, пережила серьёзный сбой, из-за которого пришлось отключить службу Microsoft Exchange. Сервис был недоступен для заказчиков в течение нескольких последних дней, в том числе на минувших выходных.

В Rackspace не раскрывают, что именно послужило причиной масштабного сбоя. Отмечается лишь, что это связано с «инцидентом безопасности». Однако есть сведения, что сервисы компании подверглись атаке вредоносной программы — вероятно, вымогателя. «Мы столкнулись со значительным сбоем в нашей среде Hosted Exchange. Пришлось заблаговременно отключить службу, чтобы избежать дальнейших проблем», — говорится в официальном заявлении Rackspace.

Источник изображения: Rackspace Technology

Известно, что многие клиенты компании не могли связаться со службой поддержки в течение многих часов. Rackspace отмечает, что на протяжении последних дней она восстановила службы электронной почты для тысяч клиентов сервисов на базе Microsoft 365. В настоящее время восстановительные работы продолжаются.

В мае нынешнего года сообщалось, что Rackspace Technology рассматривает возможность продажи всего бизнеса или его части. Компания была основана в 1998 году в качестве хостинг-провайдера. В 2006-м она представила одну из первых публичных платформ PaaS. Позднее Rackspace объявила о намерении сосредоточить усилия на развитии облачных и мультиоблачных технологий, оптимизации и безопасности.

UPD: Rackspace подтвердила, что причиной сбоя стала атака зловреда, и привлекла к расследованию сторонних экспертов в области информационной безопасности. Предполагается, что атака затронула только Exchange, но компания ввела дополнительные меры защиты для других сервисов. Пока что она не готова назвать сроки полного восстановления всей функциональности сервисов Exchange.

«Лаборатория Касперского» информирует об увеличении интенсивности атак на организации, в IT-инфраструктуре которых используется Microsoft Exchange Server — корпоративное решение для обмена сообщениями и организации совместной работы сотрудников предприятий.

Сообщается, что в августе 2021 года «Лаборатория Касперского» заблокировала почти 20 тысяч атак на пользователей серверов Exchange. По сравнению с июлем количество таких инцидентов увеличилось на 170%. По мнению экспертов, рост обусловлен тем, что в этом году появилось множество эксплойтов под уязвимости в платформе, а многие IT-администраторы не торопятся с установкой выпущенных Microsoft обновлений и заплаток. Только за последние полгода с эксплойтами для Exchange Server столкнулись более 74 тысяч пользователей продуктов «Лаборатории Касперского» по всему миру.

Источник изображения: spectrasoft.ru

«В последнюю неделю лета мы зафиксировали в России свыше 2700 атак с применением эксплойтов ProxyShell. Уязвимости, для которых уже выпущены обновления, могут быть даже более опасны, чем уязвимости нулевого дня, ведь, поскольку информация о них доступна в публичном пространстве, ими могут воспользоваться гораздо больше злоумышленников. Вот почему так важно отслеживать выпуски патчей и незамедлительно обновлять ПО», — говорится в сообщении «Лаборатории Касперского».

Для защиты от подобных атак и минимизации рисков «Лаборатория Касперского» рекомендует организациям проверить используемый Microsoft Exchange Server на предмет обновлений, а также регулярно создавать резервные копии важных данных.

Исследователи киберугроз и специалисты по реагированию на инциденты продолжают отслеживать активность атак, связанных с уязвимостями ProxyShell в Microsoft Exchange, в том числе эффективные атаки программ-вымогателей. В настоящее время множество злоумышленников активно используют ProxyShell для установки бэкдоров. Это подтверждается двумя частями нового исследования, проведенного компаниями Mandiant и Sophos, которые мониторят активность ProxyShell уже несколько недель.

«Mandiant наблюдала цепочку эксплойтов, приводящую к развертыванию веб-оболочек, бэкдоров и утилит туннелирования для дальнейшей компрометации организаций-жертв. На момент выпуска этого блога Mandiant отслеживает восемь независимых кластеров. Mandiant ожидает, что будет сформировано больше кластеров по мере того, как различные злоумышленники будут применять рабочие эксплойты», — сообщили исследователи.

chubk.com

В ходе одной атаки ProxyShell, на которую отреагировала команда Managed Defense, жертвой злоумышленника под кодовым именем UNC2980, стал американский университет. Mandiant сообщила, что группа использовала известные уязвимости из базы CVE для получения начального доступа. Затем она применила несколько общедоступных инструментов для похищения данных. Это лишь одна из множества групп угроз, которые возникли за последние несколько недель и оцениваются (хотя на данный момент с низкой степенью достоверности) как кибершпионаж, осуществляемый Китаем.

В свою очередь, группа реагирования на инциденты Sophos поделилась подробностями расследования серии недавних атак банды вымогателей Conti, которая также использовала ProxyShell для установления первоначального доступа перед тем, как задействовать свои стандартные инструменты. Conti далеко не первой начала использовать ProxyShell (как, например, операторы нового вымогателя LockFile), но атаки Conti, отслеживаемые Sophos, были необычными, поскольку они разворачивались в рекордно короткие сроки.

Sophos

«По мере того, как злоумышленники накопили опыт использования этих методов, время ожидания перед запуском полезной нагрузки в целевых сетях сократилось с недель до дней и часов», — пояснил старший исследователь угроз в Sophos Labs Шон Галлахер (Sean Gallagher). Так, в одном случае злоумышленники смогли получить доступ к сети и развернуть веб-оболочку менее чем за минуту. Через три минуты они установили вторую, резервную веб-оболочку.

В течение 30 минут они сформировали полный список узлов сети, контроллеров домена и администраторов. Через четыре часа были извлечены учётные данные администраторов домена, а через 48 часов после получения первоначального доступа злоумышленники извлекли около 1 Тбайт данных. По прошествии пяти дней они развернули программу-вымогатель Conti на каждой машине в сети, специально нацелившись на общие сетевые ресурсы. В ходе атаки они установили семь лазеек в сети жертвы.

Галлахер призвал пользователей Microsoft Exchange применить исправления, которые уменьшают опасность эксплойтов ProxyShell, отметив, что доступные исправления требуют установку недавнего накопительного обновления Exchange Server, что фактически означает вынужденный простой. По этой причине некоторые из пользователей откладывают установку исправлений.

Компания «Доктор Веб» сообщила о выпуске обновлённой версии решения Dr.Web для Microsoft Exchange, обеспечивающего антивирусную и антиспам-проверку трафика, передаваемого через почтовые серверы организации.

В новой версии продукта добавлена функция блокировки писем на иероглифических языках, расширено логирование при проверке электронной корреспонденции на спам, реализована возможность записи дампов писем, помеченных как спам или «чистые», удалена французская локализация, обновлена документация, а также включён запрет на установку на рабочие станции Windows без обновлений, обеспечивающих поддержку алгоритма хеширования SHA-256.

Dr.Web для почтовых серверов MS Exchange поддерживает кластерные конфигурации и работу в распределённой системе почтовых серверов, оснащён средствами автоматического контроля функционирования приложения и защиты от сбоев, а также эвристическим анализатором для дополнительной защиты от неизвестных вирусов. Продукт включён в реестр отечественного ПО и рекомендуется для использования в государственных структурах.

Более подробную информацию о возможностях защитного решения Dr.Web для Microsoft Exchange Server можно найти на сайте products.drweb.ru/mailserver/exchange.

Компания «Доктор Веб» объявила о выпуске обновлённой версии решения Dr.Web для Microsoft Exchange Server, обеспечивающего антивирусную и антиспам-проверку трафика, передаваемого через почтовые серверы организации.

Dr.Web для MS Exchange поддерживает кластерные конфигурации и работу в распределённой системе почтовых серверов, оснащён средствами автоматического контроля функционирования приложения и защиты от сбоев, а также эвристическим анализатором для дополнительной защиты от неизвестных вирусов. Для Exchange Server 2007/2010/2013 программа интегрирует в службу транспорта сервера собственные транспортные агенты, обеспечивая доступ к письмам и почтовым вложениям ядру антивирусной системы Dr.Web. Для всех версий более ранних, чем Exchange Server 2013, сохранена поддержка интерфейса VSAPI. Для 32-битных версий Exchange Server 2003 предусмотрен отдельный модуль антиспама, интегрирующийся в IIS (Internet Information Services).

В новом релизе Dr.Web для почтовых серверов MS Exchange, получившем индекс 11.0.1, разработчиками реализована поддержка операционной системы Windows Server 2016 и браузера Microsoft Edge, для правил фильтрации добавлены два новых параметра — «Применить правила к отправителю» и «Применить правила к получателю», внесены изменения в режим просмотра инцидентов и карантина в веб-консоли администратора, а также добавлена документация на французском языке. С полным списком реализованных в программе нововведений и изменений можно ознакомиться, проследовав по этой ссылке.

Дополнительные сведения о программном продукте представлены на странице products.drweb.com/mailserver/exchange.

Материалы по теме:

• Стартовало бета-тестирование десятой версии Dr.Web для файловых серверов UNIX;
• Вышла новая версия решения для выявления целенаправленных атак InfoWatch Targeted Attack Detector;
• С 1 января в России начнут действовать новые национальные криптографические стандарты.

Источник:

• drweb.com

Компания «Доктор Веб» объявила о выпуске одиннадцатой версии решения Dr.Web для Microsoft Exchange Server различных редакций, обеспечивающего антивирусную и антиспам-проверку трафика, передаваемого через почтовые серверы организации.

Программный комплекс Dr.Web 11.0 для почтовых серверов MS Exchange поддерживает кластерные конфигурации и работу в распределённой системе почтовых серверов, оснащён средствами автоматического контроля функционирования приложения и защиты от сбоев, а также эвристическим анализатором для дополнительной защиты от неизвестных вирусов. Для Microsoft Exchange Server 2007/2010/2013/2016 программа интегрирует в службу транспорта сервера собственные транспортные агенты, обеспечивая доступ к письмам и почтовым вложениям ядру антивирусной системы Dr.Web для Microsoft Exchange Server. Для всех версий более ранних, чем Microsoft Exchange Server 2013, сохранена поддержка интерфейса антивирусного сканирования VSAPI. Для 32-битных версий сервера Microsoft Exchange Server 2003 предусмотрен отдельный модуль антиспама, интегрирующийся в IIS (Internet Information Services).

В новой версии продукта разработчиками была доработана архитектура подсистемы отказоустойчивости и подсистемы запуска сервисов Dr.Web для Microsoft Exchange Server при перезапуске сервера. Также сообщается о включении дополнительных проверок статусов RPC-соединений с модулем Scan Engine и разделении инициализации Dr.Web for MSP Scanning Service на две стадии: до момента появления нагрузки на сканирование и после. Теперь информация о версии продукта, установленной лицензии и вирусных базах отображается в веб-консоли только после окончания второй стадии инициализации. С полным списком реализованных в Dr.Web 11.0 для MS Exchange нововведений и изменений можно ознакомиться, проследовав по этой ссылке.

Дополнительные сведения о программе представлены на странице products.drweb.com/mailserver/exchange.

Материалы по теме:

• Стартовало бета-тестирование десятой версии Dr.Web для файловых серверов UNIX;
• Вышла новая версия решения для выявления целенаправленных атак InfoWatch Targeted Attack Detector;
• С 1 января в России начнут действовать новые национальные криптографические стандарты.

Источник:

• drweb.com