- Microsoft Defenderi ATP uurimisrühm avaldas juhendi, kuidas kaitsta Exchange'i servereid pahatahtliku eest rünnakud käitumispõhise tuvastamise kasutamine.
- ATP meeskond on mures rünnakud seda ära kasutadaVahetushaavatavused nagu CVE-2020-0688.
- Alustuseks peaksite meie kohta lisateavet Exchange'i kohta lugema Jaotis Microsoft Exchange.
- Kui olete huvitatud rohkematest turvalisuse alastest uudistest, külastage julgelt meie veebisaiti Turvakeskus.
Microsoft Defenderi ATP uurimisrühm avaldas juhendi, kuidas kaitsta Vahetusserverid pahatahtlike rünnakute vastu, kasutades käitumispõhist tuvastamist.
Exchange'i serverite rünnamiseks on kaks võimalust. Kõige tavalisem tähendab lõpp-punktidele suunatud sotsiaalse inseneri või allalaadimisrünnakute käivitamist.
ATP meeskond on siiski mures teist tüüpi rünnakute pärast, mis kasutavad ära Exchange'i haavatavusi, näiteks CVE-2020-0688. Seal oli isegi NSA hoiatab selle haavatavuse eest.
Microsoft juba välja antud turvavärskendus haavatavuse parandamiseks alates veebruarist, kuid ründajad leiavad endiselt servereid, mida ei plaasterdatud ja seetõttu jäid nad haavatavaks.
Kuidas kaitsta rünnakute eest Exchage serverites?
Käitumispõhine blokeerimine ja ohjeldamine Microsoft Defenderi ATP võimalused, mis kasutavad spetsialiseerunud mootoreid ohtude avastamine käitumist analüüsides, tuvastavad kahtlased ja pahatahtlikud tegevused Exchange'i serverites.
Neid tuvastamismootoreid töötavad pilvepõhised masinõppe klassifikaatorid, mida koolitatakse seaduspäraste vs. kahtlased tegevused Exchange'i serverites.
Microsofti teadlased uurisid aprilli jooksul uuritud Exchange'i rünnakuid, kasutades mitut Exchange'i spetsiifilist käitumispõhist tuvastust.
Kuidas rünnakud toimuvad?
Microsoft paljastas ka rünnakuketi, mida rikkujad kasutavad Exchange'i serverite ohustamiseks.
Tundub, et ründajad tegutsevad asutuses paiknevates Exchange-serverites, kasutades juurutatud veebikestasid. Alati, kui ründajad suhtlesid veebikestaga, käivitas kaaperdatud rakenduste kogum ründaja nimel käsu.
See on ründaja unistus: otse serverisse maandumine ja kui serveri juurdepääsutasemed on valesti konfigureeritud, hankige süsteemiõigused.
Ka Microsoft juhendis täpsustatud et rünnakutes kasutati mitut failita tehnikat, millele oli ohtude avastamisel ja lahendamisel keerukam kiht.
Rünnakud näitasid ka seda, et käitumispõhine tuvastamine on organisatsioonide kaitsmise võti.
Praegu näib, et plaastri installimine on CVE-2020-0688 serveri haavatavuse ainus võimalik lahendus.
