- माइक्रोसॉफ्ट डिफेंडर एटीपी रिसर्च टीम ने दुर्भावनापूर्ण के खिलाफ एक्सचेंज सर्वर की रक्षा करने के तरीके पर एक गाइड जारी किया आक्रमण व्यवहार-आधारित पहचान का उपयोग करना।
- एटीपी टीम चिंतित है आक्रमण उस शोषण, अनुचित लाभ उठानाअदला बदलीकमजोरियों सीवीई-2020-0688 की तरह।
- आपको हमारे से एक्सचेंज के बारे में अधिक जानकारी पढ़कर शुरुआत करनी चाहिए माइक्रोसॉफ्ट एक्सचेंज सेक्शन.
- यदि आप सुरक्षा के बारे में अधिक समाचारों में रुचि रखते हैं, तो बेझिझक हमारे सुरक्षा हब.
माइक्रोसॉफ्ट डिफेंडर एटीपी रिसर्च टीम ने बचाव के तरीके पर एक गाइड जारी किया एक्सचेंज सर्वर व्यवहार-आधारित पहचान का उपयोग करके दुर्भावनापूर्ण हमलों के खिलाफ।
एक्सचेंज सर्वर पर हमला होने के परिदृश्य के दो तरीके हैं। सबसे आम अर्थ है सोशल इंजीनियरिंग या ड्राइव-बाय डाउनलोड अटैक लॉन्च करना जो एंडपॉइंट्स को लक्षित करता है।
एटीपी टीम चिंतित है, हालांकि दूसरे प्रकार के हमलों के बारे में, जो सीवीई-2020-0688 जैसी एक्सचेंज कमजोरियों का फायदा उठाते हैं। यहाँ तक कि एक भी था इस भेद्यता के बारे में एनएसए चेतावनी.
माइक्रोसॉफ्ट पहले से ही जारी किया गया सुरक्षा अद्यतन फरवरी से भेद्यता को ठीक करने के लिए, लेकिन हमलावर अभी भी ऐसे सर्वर ढूंढते हैं जो पैच नहीं किए गए थे और इसलिए, कमजोर बने रहे।
मैं Exchage सर्वर पर होने वाले हमलों से कैसे बचाव करूं?
व्यवहार-आधारित अवरोधन और रोकथाम माइक्रोसॉफ्ट डिफेंडर एटीपी में क्षमताएं, जो कि विशेषज्ञ इंजनों का उपयोग करती हैं व्यवहार का विश्लेषण करके खतरों का पता लगाना, एक्सचेंज सर्वर पर संदिग्ध और दुर्भावनापूर्ण गतिविधियों की सतह।
ये डिटेक्शन इंजन क्लाउड-आधारित मशीन लर्निंग क्लासिफायर द्वारा संचालित होते हैं जो वैध बनाम वैध के विशेषज्ञ-संचालित प्रोफाइलिंग द्वारा प्रशिक्षित होते हैं। एक्सचेंज सर्वर में संदिग्ध गतिविधियां।
Microsoft शोधकर्ताओं ने कई एक्सचेंज-विशिष्ट व्यवहार-आधारित डिटेक्शन का उपयोग करते हुए अप्रैल के दौरान जांचे गए एक्सचेंज हमलों का अध्ययन किया।
हमले कैसे होते हैं?
Microsoft ने हमले की श्रृंखला का भी खुलासा किया जिसका उपयोग गलत करने वाले एक्सचेंज सर्वर से समझौता करने के लिए कर रहे हैं।
ऐसा लगता है कि हमलावर तैनात वेब शेल का उपयोग करके ऑन-प्रिमाइसेस एक्सचेंज सर्वर पर काम कर रहे हैं। जब भी हमलावर वेब शेल के साथ इंटरैक्ट करते हैं, तो अपहृत एप्लिकेशन पूल हमलावर की ओर से कमांड चलाता है।
यह एक हमलावर का सपना है: सीधे सर्वर पर उतरना और, यदि सर्वर ने एक्सेस स्तरों को गलत तरीके से कॉन्फ़िगर किया है, तो सिस्टम विशेषाधिकार प्राप्त करें।
माइक्रोसॉफ्ट भी गाइड में निर्दिष्ट कि हमलों ने खतरों का पता लगाने और उन्हें हल करने में जटिलता की अतिरिक्त परतों के साथ कई फाइललेस तकनीकों का इस्तेमाल किया।
हमलों ने यह भी प्रदर्शित किया कि व्यवहार-आधारित पहचान संगठनों की सुरक्षा के लिए महत्वपूर्ण हैं।
अभी के लिए, ऐसा प्रतीत होता है कि पैच स्थापित करना CVE-2020-0688 सर्वर भेद्यता के लिए एकमात्र उपलब्ध उपाय है।
