- Microsoft Defender ATP istraživački tim objavio je vodič o tome kako obraniti Exchange poslužitelje od zlonamjernih napadi pomoću otkrivanja temeljenog na ponašanju.
- ATP tim je zabrinut napadi da iskorištavatiRazmjenaranjivosti poput CVE-2020-0688.
- Trebali biste pročitati više informacija o razmjeni s našeg Odjeljak Microsoft Exchange.
- Ako vas zanima više vijesti o sigurnosti, slobodno posjetite našu Sigurnosno središte.
Istraživački tim tvrtke Microsoft Defender ATP objavio je vodič za obranu Razmjena poslužitelja protiv zlonamjernih napada korištenjem otkrivanja temeljenog na ponašanju.
Postoje dva načina za napad na Exchange servere. Najčešće podrazumijeva pokretanje socijalnog inženjeringa ili napada putem preuzimanja koji ciljaju krajnje točke.
ATP tim zabrinut je, međutim, zbog drugog tipa napada koji iskorištavaju Exchange ranjivosti poput CVE-2020-0688. Čak je postojao i Upozorenje NSA-e o ovoj ranjivosti.
Microsoft već izdao sigurnosno ažuriranje radi popravljanja ranjivosti od veljače, ali napadači i dalje pronalaze poslužitelje koji nisu zakrpani i stoga ostaju ranjivi.
Kako se mogu obraniti od napada na poslužitelje Exchagea?
Blokiranje i zadržavanje na temelju ponašanja mogućnosti Microsoftovog Defendera ATP koji koriste motore koji su se specijalizirali za otkrivanje prijetnji analizom ponašanja, pojavljuju sumnjive i zlonamjerne aktivnosti na Exchange poslužiteljima.
Ovi motori za otkrivanje pokreću se klasifikatorima strojnog učenja temeljenim na oblaku koji su obučeni stručnim profiliranjem legitimnih vs. sumnjive aktivnosti na Exchange poslužiteljima.
Microsoftovi istraživači proučavali su razmjene napada istražene tijekom travnja, koristeći višestruke detekcije temeljene na ponašanju specifične za Exchange.
Kako se odvijaju napadi?
Microsoft je također otkrio lanac napada koji prijestupnici koriste za kompromitiranje Exchange poslužitelja.
Čini se da napadači rade na lokalnim Exchange poslužiteljima koristeći postavljene web školjke. Kad god su napadači stupili u interakciju s web školjkom, oteti spremište aplikacija izvršavalo je naredbu u ime napadača.
Ovo je san napadača: izravno slijetanje na poslužitelj i, ako poslužitelj ima pogrešno konfigurirane razine pristupa, steknite povlastice sustava.
Microsoft također navedeno u vodiču da su se napadi koristili više tehnika bez datoteka, s dodatnim slojevima otkrivanja i rješavanja prijetnji.
Napadi su također pokazali da su otkrivanja temeljena na ponašanju ključna za zaštitu organizacija.
Za sada se čini da je instaliranje zakrpe jedini dostupan lijek za ranjivost poslužitelja CVE-2020-0688.
