29
mar
2021Hafnium i Dear Cry - klienci Sophos MTR bezpieczni
2 Marca 2021 roku informacje o podatności Microsoft Exchange na zagrożenie typu Zero Day - Hafnium zostały podane do publicznej wiadomości. Sophos ochronił swoich użytkowników przed nowymi zagrożeniami.
W serwerze on-premise Microsoft Exchange zostały znalezione 4 podatności typu zero-day. Są już gotowe łatki, jednak do czasu ich implementacji systemy były narażone na ataki. Klienci posiadający rozwiązanie Sophos MTR (Managed Threat Response) mogli być pewni szybkiej identyfikacji dzięki zespołom Sophos MTR. Przygotowane zostały również odpowiednie sygnatury, dystrybuowane zgodnie z mechanizmami Auto-Upadate, również na systemy Sophos Firewall XG i UTM.
Dynamika zmian skryptów nie pozwala na ich automatyczne usuwanie, jednak Administrator jest powiadamiany o zagrożeniu, a w bazach Sophos można odnaleźć kolejne aktualne nazwy wykrytych zagrożeń. Dodatkowo uzupełniana jest na bieżąco lista adresów IP, z których rozprzestrzeniają się ataki, a komunikacja z tymi adresami jest blokowana (blokada łączności C&C).
Sophos również wydał wzorcowe zapytania SQL dla klientów posiadających system EDR, dzięki którym mogą oni przeczesać swoją infrastrukturę w poszukiwaniu potencjalnych infekcji.
Dodatkowo zespół Sophos MTR udostępnił również przewodnik krok po kroku jak znaleźć i zidentyfikować zagrożenie (dostępny tutaj : https://news.sophos.com/en-us/2021/03/05/hafnium-advice-about-the-new-nation-state-attack/)
źródło: materiały producenta
Autor
Product Manager