- Microsoft Das Defender ATP Research Team hat einen Leitfaden zum Schutz von Exchange-Servern gegen bösartige Angriffe veröffentlicht Anschläge mit verhaltensbasierter Erkennung.
- Das ATP-Team macht sich Sorgen um Anschläge Das AusbeutenAustauschSchwachstellen wie CVE-2020-0688.
- Lesen Sie zunächst weitere Informationen zu Exchange in unserem Abschnitt Microsoft Exchange.
- Wenn Sie an weiteren Neuigkeiten zum Thema Sicherheit interessiert sind, besuchen Sie bitte unsere Sicherheitshub.
Das Microsoft Defender ATP Research Team hat einen Leitfaden zur Verteidigung veröffentlicht Exchange-Server gegen böswillige Angriffe mit verhaltensbasierter Erkennung.
Es gibt zwei Möglichkeiten für Szenarien, in denen Exchange-Server angegriffen werden. Am häufigsten werden Social Engineering- oder Drive-by-Download-Angriffe gestartet, die auf Endpunkte abzielen.
Sorgen bereitet dem ATP-Team jedoch die zweite Art, Angriffe, die Exchange-Schwachstellen wie CVE-2020-0688 ausnutzen. Es gab sogar eine NSA-Warnung zu dieser Sicherheitsanfälligkeit.
Microsoft schon problematisch das Sicherheitsupdate zur Behebung der Sicherheitslücke seit Februar, Angreifer finden jedoch immer noch Server, die nicht gepatcht wurden und daher anfällig blieben.
Wie wehre ich mich gegen Angriffe auf Exchage-Server ab?
Verhaltensbasierte Blockierung und Eindämmung Funktionen in Microsoft Defender ATP, die Engines verwenden, die auf spezialisiert sind Erkennen von Bedrohungen durch Verhaltensanalyse, verdächtige und bösartige Aktivitäten auf Exchange-Servern aufdecken.
Diese Erkennungs-Engines werden von Cloud-basierten Klassifikatoren für maschinelles Lernen unterstützt, die durch Experten-gesteuertes Profiling von legitimen vs. verdächtige Aktivitäten auf Exchange-Servern.
Die Microsoft-Forscher untersuchten die im April untersuchten Exchange-Angriffe mithilfe mehrerer Exchange-spezifischer verhaltensbasierter Erkennungen.
Wie laufen die Angriffe ab?
Microsoft enthüllte auch die Angriffskette, mit der die Übeltäter die Exchange-Server kompromittieren.
Offenbar operieren Angreifer mit bereitgestellten Web-Shells auf lokalen Exchange-Servern. Immer wenn Angreifer mit der Web-Shell interagierten, führte der entführte Anwendungspool den Befehl im Namen des Angreifers aus.
Das ist der Traum eines Angreifers: Direkt auf einem Server zu landen und bei falsch konfigurierten Zugriffsebenen Systemprivilegien zu erlangen.
Microsoft auch in der Anleitung angegeben dass die Angriffe mehrere dateilose Techniken verwendeten, mit zusätzlichen Komplexitätsebenen bei der Erkennung und Lösung der Bedrohungen.
Die Angriffe haben auch gezeigt, dass verhaltensbasierte Erkennungen der Schlüssel zum Schutz von Unternehmen sind.
Im Moment scheint es, dass die Installation des Patches die einzige verfügbare Abhilfe für die Server-Schwachstelle CVE-2020-0688 ist.
