- Microsoft L'équipe de recherche Defender ATP a publié un guide sur la façon de défendre les serveurs Exchange contre les attaques en utilisant la détection basée sur le comportement.
- L'équipe ATP s'inquiète attaques cette exploitÉchangevulnérabilités comme CVE-2020-0688.
- Vous devriez commencer par lire plus d'informations sur Exchange dans notre Section Microsoft Exchange.
- Si vous souhaitez en savoir plus sur la sécurité, n'hésitez pas à visiter notre Centre de sécurité.
L'équipe de recherche Microsoft Defender ATP a publié un guide sur la façon de se défendre Serveurs Exchange contre les attaques malveillantes grâce à la détection basée sur le comportement.
Il existe deux scénarios d'attaque des serveurs Exchange. Le plus courant implique le lancement d'attaques d'ingénierie sociale ou de téléchargement intempestif ciblant les points de terminaison.
L'équipe ATP s'inquiète toutefois du deuxième type, les attaques qui exploitent les vulnérabilités d'Exchange comme CVE-2020-0688. Il y avait même un Avertissement de la NSA sur cette vulnérabilité.
Microsoft déjà Publié la mise à jour de sécurité pour corriger la vulnérabilité depuis février, mais les attaquants trouvent toujours des serveurs qui n'ont pas été corrigés et sont donc restés vulnérables.
Comment me défendre contre les attaques sur les serveurs Exchage ?
Blocage et confinement basés sur le comportement fonctionnalités de Microsoft Defender ATP, qui utilisent des moteurs spécialisés dans détecter les menaces en analysant le comportement, mettent en évidence des activités suspectes et malveillantes sur les serveurs Exchange.
Ces moteurs de détection sont alimentés par des classificateurs d'apprentissage automatique basés sur le cloud qui sont formés par un profilage dirigé par des experts de légitime vs. activités suspectes sur les serveurs Exchange.
Les chercheurs de Microsoft ont étudié les attaques Exchange étudiées en avril, en utilisant plusieurs détections basées sur le comportement spécifiques à Exchange.
Comment se déroulent les attaques ?
Microsoft a également révélé la chaîne d'attaque utilisée par les malfaiteurs pour compromettre les serveurs Exchange.
Il semble que les attaquants opèrent sur des serveurs Exchange locaux à l'aide de shells Web déployés. Chaque fois que les attaquants interagissaient avec le shell Web, le pool d'applications piraté exécutait la commande au nom de l'attaquant.
C'est le rêve d'un attaquant: atterrir directement sur un serveur et, si le serveur a des niveaux d'accès mal configurés, obtenir des privilèges système.
Microsoft aussi spécifié dans le guide que les attaques utilisaient plusieurs techniques sans fichier, avec des niveaux supplémentaires de complexité pour détecter et résoudre les menaces.
Les attaques ont également démontré que les détections basées sur le comportement sont essentielles pour protéger les organisations.
Pour l'instant, il semble que l'installation du correctif soit le seul remède disponible pour la vulnérabilité du serveur CVE-2020-0688.
