Эксперты по кибербезопасности из нескольких федеральных агентств выпустили руководство, призванное помочь организациям усилить защиту от атак на локальные серверы Microsoft Exchange. Руководство дополняет и развивает ранее опубликованные рекомендации, которые в целом применимы к большинству технологий.
Агентство по кибербезопасности и безопасности инфраструктуры заявило, что план безопасности для Microsoft Exchange Server является продолжением экстренной директивы, выпущенной агентством в августе для CVE-2025-53786 — уязвимости высокой степени серьёзности, затрагивающей локальные серверы Microsoft Exchange . CISA выпустило руководство в четверг совместно с Агентством национальной безопасности и киберагентствами Австралии и Канады.
Ник Андерсен, исполнительный помощник директора по кибербезопасности в CISA, заявил, что руководство не является ответом на какую-либо конкретную уязвимость или атаку, а скорее отражает постоянную угрозу, которой подвергаются организации. «Многие организации используют Microsoft Exchange для выполнения этих критически важных коммуникационных функций, и это требует высокой степени защиты от злоумышленников», — заявил он на пресс-конференции в четверг.
Эти рекомендации не являются чем-то новым и не должны стать сюрпризом для специалистов по безопасности и ИТ. Руководство обобщает советы по безопасности, предоставленные Microsoft, экспертами по безопасности и отраслью в целом. Большинство работ, цитируемых в руководстве (более 60), ссылаются на блоги и советы, разбросанные по сайтам Microsoft.
«Отдельные рекомендации представляют собой известные примеры передовой практики. Меня особенно впечатляет подробное руководство по внедрению и то, как руководство объединяет рекомендации в единый план действий по повышению безопасности», — рассказал CyberScoop Эндрю Гротто, научный сотрудник Центра международной безопасности и сотрудничества Стэнфордского университета.
«Это практичное и очень полезное руководство», — сказал он. «Возникает вопрос, почему Microsoft никогда не выпускала ничего подобного».
Microsoft отказалась отвечать на вопросы или предоставлять дополнительную информацию.
Руководство рекомендует локальным пользователям Microsoft Exchange Server ограничить административный доступ, внедрить многофакторную аутентификацию, обеспечить строгие настройки безопасности транспортного уровня и следовать принципам нулевого доверия. Организациям также рекомендуется регулярно устанавливать обновления и выполнять миграцию с отслуживших свой срок серверов Microsoft Exchange.
«Самая эффективная защита — это обеспечение установки на всех серверах Exchange последней версии и накопительных обновлений», — сказал Андерсен. «Задержка или отсутствие установки обновлений безопасности увеличивает риск эксплуатации уязвимостей и подвергает риску всю вашу сеть, а также экосистему в целом».
Степень участия Microsoft в разработке руководства неясна. Андерсен не стал комментировать этот вопрос напрямую, но отметил, что CISA благодарна Microsoft и другим поставщикам, участвующим в экосистеме поставщиков с федеральным правительством.
«Учитывая критичность и уровень взаимодействия с этим партнером, мы хотели иметь возможность описать некоторые из его передовых практик», — сказал Андерсен.
Microsoft Exchange Server часто подвергается атакам со стороны государственных злоумышленников и киберпреступников. Эта популярная корпоративная технология 16 раз упоминается в каталоге известных эксплуатируемых уязвимостей CISA, начиная с 2021 года, и 12 из этих уязвимостей, как известно, использовались для атак программ-вымогателей. В том же году правительство США и его союзники обвинили Китай в использовании уязвимости Exchange, которая привела к серии атак программ-вымогателей, затронувших десятки тысяч жертв.
По мнению Гротто, рекомендации в руководстве подчёркивают сложность Microsoft Exchange, «а сложность — враг безопасности», — сказал он. «Для Microsoft сложность — это проблема клиентов, а не их».
По словам Гротто, усилия федеральных и международных агентств, вероятно, были обусловлены тем, что они посчитали неудовлетворенной потребностью.
«Обычно правительства не вмешиваются и не предоставляют частным компаниям подробные инструкции по безопасной эксплуатации их продукции», — сказал он. «Тот факт, что многосторонняя коалиция служб безопасности и разведки сочла необходимым подготовить нечто подобное, является разрушительным комментарием к положению Microsoft в области безопасности».
Агентство по кибербезопасности и безопасности инфраструктуры заявило, что план безопасности для Microsoft Exchange Server является продолжением экстренной директивы, выпущенной агентством в августе для CVE-2025-53786 — уязвимости высокой степени серьёзности, затрагивающей локальные серверы Microsoft Exchange . CISA выпустило руководство в четверг совместно с Агентством национальной безопасности и киберагентствами Австралии и Канады.
Ник Андерсен, исполнительный помощник директора по кибербезопасности в CISA, заявил, что руководство не является ответом на какую-либо конкретную уязвимость или атаку, а скорее отражает постоянную угрозу, которой подвергаются организации. «Многие организации используют Microsoft Exchange для выполнения этих критически важных коммуникационных функций, и это требует высокой степени защиты от злоумышленников», — заявил он на пресс-конференции в четверг.
Эти рекомендации не являются чем-то новым и не должны стать сюрпризом для специалистов по безопасности и ИТ. Руководство обобщает советы по безопасности, предоставленные Microsoft, экспертами по безопасности и отраслью в целом. Большинство работ, цитируемых в руководстве (более 60), ссылаются на блоги и советы, разбросанные по сайтам Microsoft.
«Отдельные рекомендации представляют собой известные примеры передовой практики. Меня особенно впечатляет подробное руководство по внедрению и то, как руководство объединяет рекомендации в единый план действий по повышению безопасности», — рассказал CyberScoop Эндрю Гротто, научный сотрудник Центра международной безопасности и сотрудничества Стэнфордского университета.
«Это практичное и очень полезное руководство», — сказал он. «Возникает вопрос, почему Microsoft никогда не выпускала ничего подобного».
Microsoft отказалась отвечать на вопросы или предоставлять дополнительную информацию.
Руководство рекомендует локальным пользователям Microsoft Exchange Server ограничить административный доступ, внедрить многофакторную аутентификацию, обеспечить строгие настройки безопасности транспортного уровня и следовать принципам нулевого доверия. Организациям также рекомендуется регулярно устанавливать обновления и выполнять миграцию с отслуживших свой срок серверов Microsoft Exchange.
«Самая эффективная защита — это обеспечение установки на всех серверах Exchange последней версии и накопительных обновлений», — сказал Андерсен. «Задержка или отсутствие установки обновлений безопасности увеличивает риск эксплуатации уязвимостей и подвергает риску всю вашу сеть, а также экосистему в целом».
Степень участия Microsoft в разработке руководства неясна. Андерсен не стал комментировать этот вопрос напрямую, но отметил, что CISA благодарна Microsoft и другим поставщикам, участвующим в экосистеме поставщиков с федеральным правительством.
«Учитывая критичность и уровень взаимодействия с этим партнером, мы хотели иметь возможность описать некоторые из его передовых практик», — сказал Андерсен.
Microsoft Exchange Server часто подвергается атакам со стороны государственных злоумышленников и киберпреступников. Эта популярная корпоративная технология 16 раз упоминается в каталоге известных эксплуатируемых уязвимостей CISA, начиная с 2021 года, и 12 из этих уязвимостей, как известно, использовались для атак программ-вымогателей. В том же году правительство США и его союзники обвинили Китай в использовании уязвимости Exchange, которая привела к серии атак программ-вымогателей, затронувших десятки тысяч жертв.
По мнению Гротто, рекомендации в руководстве подчёркивают сложность Microsoft Exchange, «а сложность — враг безопасности», — сказал он. «Для Microsoft сложность — это проблема клиентов, а не их».
По словам Гротто, усилия федеральных и международных агентств, вероятно, были обусловлены тем, что они посчитали неудовлетворенной потребностью.
«Обычно правительства не вмешиваются и не предоставляют частным компаниям подробные инструкции по безопасной эксплуатации их продукции», — сказал он. «Тот факт, что многосторонняя коалиция служб безопасности и разведки сочла необходимым подготовить нечто подобное, является разрушительным комментарием к положению Microsoft в области безопасности».
