- Microsoft Defender ATP Research Team frigav en guide til, hvordan man kan forsvare Exchange-servere mod ondsindede angreb ved hjælp af adfærdsbaseret detektion.
- ATP-teamet er bekymret for det angreb at udnytteUdvekslingsårbarheder som CVE-2020-0688.
- Du bør starte med at læse mere information om Exchange fra vores Microsoft Exchange-sektion.
- Hvis du er interesseret i flere nyheder om sikkerhed, er du velkommen til at besøge vores Sikkerhedshub.
Microsoft Defender ATP Research Team frigav en guide til, hvordan man forsvarer Exchange-servere mod ondsindede angreb ved hjælp af adfærdsbaseret afsløring.
Der er to måder til scenarier for Exchange-servere, der bliver angrebet. Det mest almindelige indebærer lancering af social engineering eller drive-by-downloadangreb rettet mod slutpunkter.
ATP-teamet er dog bekymret over den anden type angreb, der udnytter Exchange-sårbarheder som CVE-2020-0688. Der var endda en NSA-advarsel om denne sårbarhed.
Microsoft allerede udstedt sikkerhedsopdateringen til løsning af sårbarheden siden februar, men angribere finder stadig servere, der ikke blev patched og derfor forblev sårbare.
Hvordan forsvarer jeg mig mod angreb på Exchage-servere?
Adfærdsbaseret blokering og indeslutning funktioner i Microsoft Defender ATP, der bruger motorer, der specialiserer sig i opdage trusler ved at analysere adfærd, overflade mistænkelige og ondsindede aktiviteter på Exchange-servere.
Disse detektionsmotorer drives af skybaserede maskinindlæringsklassifikatorer, der er trænet af ekspertstyret profilering af legitim vs. mistænkelige aktiviteter på Exchange-servere.
Microsoft-forskerne studerede Exchange-angreb, der blev undersøgt i april, ved hjælp af flere Exchange-specifikke adfærdsbaserede opdagelser.
Hvordan finder angrebene sted?
Microsoft afslørede også angrebskæden, som de forkerte bruger til at kompromittere Exchange-serverne.
Det ser ud til, at angribere opererer på lokale Exchange-servere ved hjælp af implementerede webskaller. Hver gang angribere interagerede med webskallen, kørte den kaprede applikationspool kommandoen på vegne af angriberen.
Dette er en angribers drøm: direkte landing på en server, og hvis serveren har forkert konfigurerede adgangsniveauer, få systemrettigheder.
Microsoft også specificeret i vejledningen at angrebene brugte flere fileløse teknikker med tilføjede lag af kompleksitet til at opdage og løse truslerne.
Angrebene viste også, at adfærdsbaserede opdagelser er nøglen til at beskytte organisationer.
Indtil videre ser det ud til, at installation af patch er det eneste tilgængelige middel til CVE-2020-0688-serverens sårbarhed.
![En Windows-genstart afventer fra en tidligere installation [Fix]](/f/d40955886180a19714d71d9f01619edf.png?width=300&height=460)