- Microsoft Η Defender ATP Research Team κυκλοφόρησε έναν οδηγό για το πώς να υπερασπιστεί τους διακομιστές Exchange από κακόβουλο επιθέσεις χρησιμοποιώντας ανίχνευση βάσει συμπεριφοράς.
- Η ομάδα ATP ανησυχεί επιθέσεις ότι εκμεταλλεύομαιΑνταλλαγήτρωτά σημεία όπως CVE-2020-0688.
- Θα πρέπει να ξεκινήσετε διαβάζοντας περισσότερες πληροφορίες για το Exchange από το Ενότητα Microsoft Exchange.
- Εάν ενδιαφέρεστε για περισσότερα νέα σχετικά με την ασφάλεια, μη διστάσετε να επισκεφτείτε το Κόμβος ασφαλείας.
Το Microsoft Defender ATP Research Team κυκλοφόρησε έναν οδηγό για την άμυνα Διακομιστές Exchange ενάντια σε κακόβουλες επιθέσεις χρησιμοποιώντας ανίχνευση βάσει συμπεριφοράς.
Υπάρχουν δύο τρόποι επίθεσης σεναρίων διακομιστών Exchange. Οι πιο συνηθισμένες υπονοούν την εκκίνηση κοινωνικών εφαρμογών ή επιθέσεων με λήψη από στόχευση τελικών σημείων.
Η ομάδα ATP ανησυχεί, ωστόσο, για τον δεύτερο τύπο, επιθέσεις που εκμεταλλεύονται τρωτά σημεία του Exchange, όπως το CVE-2020-0688. Υπήρχε ακόμη και ένα Προειδοποίηση NSA σχετικά με αυτήν την ευπάθεια.
Η Microsoft ήδη εκδόθηκε την ενημέρωση ασφαλείας για να διορθώσετε την ευπάθεια από τον Φεβρουάριο, αλλά οι εισβολείς εξακολουθούν να βρίσκουν διακομιστές που δεν έχουν διορθωθεί και, ως εκ τούτου, παρέμειναν ευάλωτοι.
Πώς μπορώ να υπερασπιστώ τις επιθέσεις σε διακομιστές Exchage;
Αποκλεισμός και περιορισμός βάσει συμπεριφοράς δυνατότητες στο Microsoft Defender ATP, που χρησιμοποιούν κινητήρες που ειδικεύονται ανίχνευση απειλών με ανάλυση της συμπεριφοράς, εμφανίζουν ύποπτες και κακόβουλες δραστηριότητες σε διακομιστές Exchange.
Αυτές οι μηχανές ανίχνευσης τροφοδοτούνται από ταξινομητές μηχανικής μάθησης που βασίζονται σε σύννεφο και εκπαιδεύονται από τη δημιουργία προφίλ νόμιμου εναντίον από ειδικούς ύποπτες δραστηριότητες σε διακομιστές Exchange.
Οι ερευνητές της Microsoft μελέτησαν επιθέσεις Exchange που διερευνήθηκαν τον Απρίλιο, χρησιμοποιώντας πολλαπλές ανιχνεύσεις που βασίζονται στη συμπεριφορά του Exchange.
Πώς πραγματοποιούνται οι επιθέσεις;
Η Microsoft αποκάλυψε επίσης την αλυσίδα επίθεσης που χρησιμοποιούν οι παραβάτες για να θέσουν σε κίνδυνο τους διακομιστές του Exchange.
Φαίνεται ότι οι επιτιθέμενοι λειτουργούν σε διακομιστές Exchange εσωτερικής εγκατάστασης χρησιμοποιώντας αναπτυγμένα κελύφη ιστού. Κάθε φορά που οι εισβολείς αλληλεπίδρασαν με το κέλυφος ιστού, η παραβιασμένη ομάδα εφαρμογών εκτελούσε την εντολή εκ μέρους του εισβολέα.
Αυτό είναι το όνειρο ενός εισβολέα: απευθείας προσγείωση σε έναν διακομιστή και, εάν ο διακομιστής έχει εσφαλμένα ρυθμίσει τα επίπεδα πρόσβασης, αποκτήστε προνόμια συστήματος.
Η Microsoft επίσης καθορίζεται στον οδηγό ότι οι επιθέσεις χρησιμοποίησαν πολλές τεχνικές χωρίς αρχεία, με πρόσθετα επίπεδα πολυπλοκότητας στην ανίχνευση και επίλυση των απειλών.
Οι επιθέσεις απέδειξαν επίσης ότι οι ανιχνεύσεις βάσει συμπεριφοράς είναι το κλειδί για την προστασία των οργανισμών.
Προς το παρόν, φαίνεται ότι η εγκατάσταση της ενημέρωσης κώδικα είναι η μόνη διαθέσιμη λύση για την ευπάθεια του διακομιστή CVE-2020-0688.
