| 0 |
|
Інформація про вразливість нульового дня була опублікована Microsoft 14 березня та вже зареєстровані випадки цілеспрямованих атак із використанням цієї вразливості на організації в Україні.
Рекомендації щодо блокування загрози, якщо ви – не користувач Microsoft Office 365:
- Заблокувати на firewall вихідний SMB трафік і всі з'єднання в зовнішній світ на порти 445, 137-139 із внутрішньої мережі. Цей контрзахід є критичним і рекомендованим ще з 2017 року після атаки ransomware NotPetya;
- Надіслати лист на всіх працівників організації від IT-команди про перехід на вебверсію та повідомлення щодо підозрілої активності в мережі (у разі її виявлення) – чи з доступом, чи з електронною поштою;
- Блокувати виконання outlook.exe через групові політики до розгортання оновлення на Windows;
- Увімкнути логування і збір всіх логів у WEC сервер (windows event collector);
- Встановити виправлення через WSUS у межах домену і через групову політику;
- Через групові політики Active Directory активувати примусове SMB signing on clients and servers, щоб усунути можливість relay-атак Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.
Додатково рекомендується вимкнути LLMNR на всіх комп'ютерах у домені через механізм групових політик: Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client.
А також відключити NBT-NS як інший вектор реалізації загрози, що часто використовується зловмисниками в мережах з доменом Active Directory: Network Connections > Internet Protocol Version 4 > Properties > General > Advanced > WINS, «Disable NetBIOS over TCP/IP».
Якщо жертва відкрила лист – негайно змініть пароль і відстежуйте спроби автентифікації цього користувача у ваших системах.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
