Киберпреступники стали эксплуатировать уязвимости в Microsoft Exchange, известные как ProxyLogon , для заражения почтовых серверов вымогательским ПО DearCry. Данный вымогатель является новым, и название для него было выбрано по маркеру "DEARCRY!", обнаруженному в зашифрованных им файлах. Microsoft Defender детектирует его как Ransom:Win32/DoejoCrypt.A.

Атаки DearCry начались как минимум с 9 марта 2021 года и были обнаружены, когда одна из пострадавших организаций загрузила копию записки с требованием выкупа на портал ID Ransomware - web-инструмент для идентификации вымогательского ПО. Судя по всему, атаки начались до публикации в открытом доступе PoC-эксплоита для уязвимостей ProxyLogon. Другими словами, операторы DearCry смогли разработать собственный эксплоит.

Атака происходит следующим образом: сначала злоумышленники получают доступ к серверу через уязвимость CVE-2021-26855, затем повышают свои привилегии с целью выполнения кода через CVE-2021-26857, а потом сохраняют постоянство на системе с помощью CVE-2021-27065. Зашифровав файлы, вымогатель добавляет к ним расширение ".CRYPT". За расшифровку злоумышленники требуют $50-110 тыс.

По данным создателя ID Ransomware, исследователя компании Emsisoft Майкла Гиллеспи (Michael Gillespie), пока что вымогатель успел заразить только шесть жертв в Австрии, Австралии, Дании, Канаде и США. Судя по IP-адресам, с которых на портал ID Ransomware были загружены образцы вредоноса, жертвами DearCry преимущественно являются маленькие фирмы, и только одна является крупной.

В настоящее время никаких уязвимостей, которые помогли бы специалистам создать бесплатный дешифратор для восстановления зашифрованных файлов, в DearCry не обнаружено. Кто стоит за атаками, пока неизвестно.

Согласно сервису Downdetector, сбой начался примерно 21:58 по московскому времени. В течение часа платформа зарегистрировала более 26 тысяч жалоб по всему миру. Точная причина проблем широкой общественности пока неизвестна.

Сбой затронул не только Microsoft Teams, но и ряд других служб компании, включая Azure, Microsoft 365 и Dynamics 365. В компании предположили, что это может быть связано с обновлением системы аутентификации и начали откат сервиса к прежней версии. Позже разработчики заявили, что выявили точную причину проблем, но не назвали её. Они пообещали вернуть сервис в рабочее состояние в течение часа.

Microsoft Teams — это корпоративная платформа для организации рабочего процесса. В ней можно создавать общие чаты, проводить рабочие звонки, делиться рабочими документами и многое другое. Также платформа пользуется популярностью у учебных заведений для организации удалённого обучения. Как отмечает The Verge, в ходе пандемии популярность сервиса сильно возросла. Его аудитория на сегодняшний день насчитывает около 115 миллионов человек.

Правительство США обновило свое руководство для организаций по устранению уязвимостей в Microsoft Exchange, известных как ProxyLogon, добавив в него семь web-оболочек China Chopper, успешно использующихся киберпреступниками в атаках на почтовые серверы.

Агентство кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) Министерства внутренней безопасности США обновило свою web-страницу Mitigate Microsoft Exchange Server Vulnerabilities, посвященную узявимостям ProxyLogon и созданную после того, как 2 марта 2021 года компания Microsoft выпустила для них экстренные исправления. На страницу были добавлены семь отчетов с результатами анализа вредоносного ПО, и в каждом из них говорится о web-оболочках China Chopper.

После успешного взлома почтового сервера в целях получения начального доступа в сети атакуемых организаций злоумышленники обычно загружают web-оболочку для обеспечения удаленного администрирования. Web-оболочки используются в нескольких целях. Помимо удаленного администрирования, злоумышленники также могут использовать их для кражи конфиденциальной информации и учетных данных или для загрузки дополнительного вредоносного ПО для осуществления дальнейшей вредоносной активности.

С помощью web-оболочек хакеры также могут передавать команды хостам внутри сети без прямого доступа в интернет, или использовать их в качестве C&C-инфраструктуры для управления ботнетом или для компрометации большего количества внешних сетей.

Ранее сообщалось, что в некоторых случаях установка мартовского накопительного обновления для Windows 10 приводит к появлению BSOD с ошибкой APC_INDEX_MISMATCH, когда пользователь пытается напечатать на принтере какой-либо документ. Теперь же стало известно, что проблема с печатью более разнообразна и может выражаться в том, что принтер печатает лишь часть документа или же вообще не печатает ничего, выдавая чистые листы.


Проблема затрагивает обновления KB5000802, KB5000808, KB5000809 и KB5000822, которые предназначены для разных версий Windows 10. Ранее в документе поддержки Microsoft говорилось, что эти пакеты могут вызывать BSOD, но недавно разработчики опубликовали больше информации. Для каждого из четырёх перечисленных ранее обновлений разработчики добавили одинаковое описание.

«После установки обновлений, выпущенных 9 марта 2021 года и 15 марта 2021 года, вы можете получить неожиданный результат при печати документов из некоторых приложений. Проблемы могут выражаться в следующем:

Элементы документа могут быть напечатаны в виде сплошных черных/цветных прямоугольников или могут отсутствовать, в том числе штрих-коды, QR-коды и графические элементы, такие как логотипы.
Строки таблиц могут отсутствовать. Также могут возникать другие проблемы с выравниванием и форматированием страниц.
Печать из некоторых приложений или на некоторые принтеры может привести к появлению пустой страницы», — говорится в сообщении Microsoft.
Стоит отметить, что временного исправления этой проблемы на данный момент нет. Вероятнее всего, её можно решить, удалив последнее накопительное обновление. Microsoft работает над созданием соответствующего патча и обещает выпустить его в течение нескольких дней.

После установки мартовского накопительного обновления некоторые пользователи столкнулись с проблемами при попытке распечатать какой-либо документ на принтере. В ряде случаев сразу после отправки документа на печать появляется синий экран смерти (BSOD). Кроме того, принтер может печатать документы не полностью или же не печатать вообще, выдавая чистые листы бумаги. Непонятно, насколько широко распространена эта проблема, но известно, что она затрагивает принтеры разных производителей.

В начале этой недели Microsoft выпустила патч, который должен был исправить ошибку, приводящую к появлению BSOD при печати документов. Теперь же разработчики начали распространение нового патча, который должен окончательно решить все проблемы с печатью в Windows 10. Исправление актуально для всех поддерживаемых версий программной платформы, в том числе Windows 10 20H2, Windows 10 (2004), Windows 10 (1909) и др. Получить соответствующий пакет можно через «Центр обновлений Windows» или же с помощью каталога обновлений Microsoft.

Речь идёт о CVE-2021-26855, уязвимости подделки запросов на стороне сервера (SSRF) в Exchange, эксплуатация которой позволяет отправлять произвольные HTTP-запросы и проходить аутентификацию. Это одна из четырёх опасных уязвимостей Exchange Server, которые активно используются злоумышленниками для совершения атак на разные компании и организации, поэтому Microsoft рекомендует пользователям не затягивать с обновлением антивирусного программного обеспечения.

«Сегодня мы предприняли дополнительный шаг для поддержки наших клиентов, которые всё ещё используют уязвимые серверы Exchange и не успели установить соответствующий патч безопасности. Благодаря последнему обновлению антивирус Microsoft Defender и System Center Endpoint Protection автоматически устраняют уязвимость CVE-2021-26855 на любом уязвимом сервере Exchange, где они развёрнуты. Клиентам не нужно предпринимать никаких действий, кроме проверки того, что они используют последнюю версию антивирусного ПО (сборка 1.333.747.0 или новее)», — говорится в сообщении Microsoft.

Разработчики также отмечают, что наиболее надёжным вариантом защиты серверов Exchange от атак злоумышленников через обнаруженные недавно уязвимости является установка накопительных обновлений для этого ПО, которые были выпущены ранее в этом месяце.

Во-первых, Microsoft сделала цифровую помощницу Cortana более полезной при использовании платформы Teams. Теперь ассистент может по запросу пользователя осуществлять веб-поиск. У него можно спросить о точном времени, погоде, курсе акций и так далее, а затем быстро поделиться этой информацией с другими людьми в ходе видеосвязи. На данный момент функция поддерживается умными дисплеями для платформы Teams в Канаде, Австралии, Великобритании, США и Индии. Цифровой помощник воспринимает только запросы на английском языке. Для выполнения запросов используется фирменная поисковая система Microsoft Bing.

Также в Teams для умных дисплеев появились изменяемые фоны. Данная функция была реализована для десктопной версии платформы ещё в 2019 году. Теперь смарт-дисплеи с поддержкой Teams могут размывать или полностью менять фон видеопотока с помощью заранее отобранных изображений. Компания также добавила новые живые реакции на выступления — можно отправлять в чат различные анимированные эмодзи.

Так же в Teams для умных дисплеев появились быстрые ответы. При получении сообщения в чате система может предложить несколько вариантов заготовленных ответов в соответствии с тем, что написано в сообщении. Данная функция позволит экономить время, не набирая нужный ответ самостоятельно.

Как отметил аналитик Bloomberg Intelligence Мэтью Кантерман (Matthew Kanterman), покупка Discord имеет большой смысл для Microsoft в целях модернизации своего бизнеса в сторону предоставления услуг. Например, компания может объединить в единую услугу подписки Discord Nitro и Game Pass, что поможет компании увеличить число подписчиков.

Discord известен как сервис коммуникации для геймеров, который позволяет им общаться друг с другом текстовым и голосовым способами. Также они могут включать видеосвязь и демонстрацию экрана в рамках приложения. Как отмечает Bloomberg, у сервиса более 100 миллионов активных пользователей и им всё чаще пользуются студенты, застрявшие дома из-за пандемии.

Приобретение Discord станет ещё одним сигналом о готовности Microsoft инвестировать средства в развитие игрового подразделения. Ранее компания купила подразделение ZeniMax (владельца Bethesda Softworks) за $7,5 миллиардов.

Очевидно, что по мере приближения даты окончания поддержки разработчики стремятся подтолкнуть пользователей к переходу на более актуальные версии платформы. Новое уведомление является одним из шагов в этом направлении. «Ваша версия Windows 10 скоро перестанет обслуживаться. Нажмите на это сообщение, чтобы загрузить более новую версию Windows 10 и продолжить получать поддержку», — говорится в уведомлении, которое стало демонстрироваться пользователям Windows 10 (1909).

Источник отмечает, что в некоторых случаях попытка скачать новую версию ОС не даёт нужного результата, поскольку после нажатия на уведомление ничего не происходит. Вероятно, это связано с тем, что установка актуальных версий программной платформы по-прежнему заблокирована для некоторых конфигураций устройств из-за проблем совместимости. Представители Microsoft пока никак не комментируют этот вопрос.

Для установки актуальной версии Windows 10 источник рекомендует использовать инструмент Update Assistant, который поможет загрузить полноценный пакет обновлений Windows 10 20H2 и осуществить его установку. Кроме того, для этого может использоваться утилита Media Creation Tool или же ISO-образ операционной системы.

Стоит отметить, что инструмент преобразования документов в презентации доступен только пользователям, имеющим действующую подписку Microsoft 365. Сам же процесс конвертирования предельно прост. Достаточно открыть в Word нужный документ и в меню «Файл» выбрать опцию «Экспорт». После этого останется выбрать пункт «Экспорт в презентацию PowerPoint» и подождать, пока будут выполнены необходимые преобразования. Когда обработка файла завершится, пользователю будет предложено задать имя получившейся презентации. Сам же файл будут сохранён в корневой папке OneDrive пользователя.

«Эта функция использует возможности искусственного интеллекта, чтобы сэкономить ваше время и предоставить варианты создания слайдов на основе Designer в PowerPoint. Слайды являются производными от заголовков разделов в документе, поэтому убедитесь, что документ Word организован соответствующим образом для достижения оптимального результата. На основе ключевых слов в документе Designer в PowerPoint подберёт изображения, значки, видео, темы и шрифты для упорядочивания содержимого. При необходимости вы всегда можете отредактировать предлагаемые алгоритмом варианты», — говорится в сообщении Microsoft.

Согласно имеющимся данным, новая функция не поддерживается в браузерах Internet Explorer и Safari. Кроме того, в настоящее время использовать её могут только пользователи, взаимодействующие с документами на английском языке. Ожидается, что языковая поддержка будет расширена в ближайшие несколько месяцев.

В Edge 89 разработчики добавили функцию ускоренного запуска обозревателя, благодаря которой он загружается до 41 % быстрее. Добиться этого удалось благодаря тому, что некоторые процессы Edge автоматически запускаются при загрузке операционной системы, позволяя обозревателю находиться в «состоянии готовности».

К сожалению, после появления этого нововведения некоторые пользователи Edge обратили внимание на проблемы с производительностью, а также невозможность закрыть его простым нажатием соответствующей кнопки. Источник говорит о том, что в ряде случаев после закрытия окна Edge браузер продолжает работать в автономном режиме и заметить это можно, открыв «Диспетчер задач». Это приводит к расходу системных ресурсов, из-за чего могут возникать затруднения в работе других приложений и игр. Исправить ситуацию можно, отключив функцию автоматической загрузки Edge при запуске операционной системы.

Согласно имеющимся данным, Microsoft признала наличие проблемы и в настоящее время разработчики изучают причины её возникновения. Очевидно, что в ближайшее время будет выпущено обновление, которое исправит ошибку Edge, из-за которой может снижаться производительность систем. В настоящее время исправить ситуацию можно, отключив функцию автоматической загрузки обозревателя при запуске операционной системы.

В отличие от ежемесячных обновлений безопасности, упомянутый пакет не является обязательным для установки, поэтому не будет загружаться на пользовательские устройства в автоматическом режиме. После установки KB5000850 номер сборки Windows повысится до 18363.1474, а также будут применены многочисленные исправления, направленные на повышение стабильности работы программной платформы.

Что касается наиболее заметных исправлений, то установка KB5000850 решает проблему с фильтрами поиска в «Проводнике», когда при попытке отфильтровать результат поиска происходит зависание. Впервые эта проблема была замечена около двух лет назад, а после запуска Windows 10 (1909) на неё обратило внимание больше пользователей. Кроме того, разработчики исправили ошибку, из-за которой режим Internet Explorer в браузере Edge работал некорректно при использовании нескольких мониторов. Исправлена ошибка, из-за которой в некоторых случаях возникали затруднения в работе концентраторов USB 3.0 при попытке перезапустить устройство.

Поскольку в мае этого года Windows 10 (1909) перестанет получать обновления, Microsoft рекомендует пользователям своевременно переходить на использование актуальных версий программной платформы. Стоит отметить, что прекращение поддержки касается разных версий Windows 10 (1909), включая Home и Pro. В это же время пользователи Windows 10 (1909) Enterprise и Education продолжат получать обновления.

Данный продукт позволит разработчикам приступить к созданию десктопных приложений на основе поддерживаемых технологий. Созданные на базе Project Reunion приложения могут использовать современные API-интерфейсы UWP вместе с API Win32, а для их нормального функционирования потребуется Windows 10 (1809) или более поздние версии платформы.

Основным ограничением этого релиза является отсутствие возможности создания неупакованных приложений, хотя она должна появиться ближе к концу года в одной из будущих версий продукта. Такая возможность была в предварительной версии Project Reunion, но в стабильной версии продукта её нет. Кроме того, пока поддерживается создание только традиционных приложений. Это означает, что разработчики не могут создавать UWP-приложения и многооконные приложения.

Для начала использования Project Reunion 0.5 потребуется предварительная версия Visual Studio 16.10 или новее, а также расширение Project Reunion. Подробная информация касательно настройки упомянутого программного обеспечения присутствует на официальном сайте Microsoft.