- Microsoft Defender ATP Research Team merilis panduan tentang cara mempertahankan server Exchange dari serangan berbahaya serangan menggunakan deteksi berbasis perilaku.
- Tim ATP khawatir tentang serangan bahwa mengeksploitasiBertukarkerentanan seperti CVE-2020-0688.
- Anda harus mulai dengan membaca informasi lebih lanjut tentang Exchange dari kami Bagian Microsoft Exchange.
- Jika Anda tertarik dengan berita lebih lanjut tentang keamanan, jangan ragu untuk mengunjungi kami Pusat Keamanan.
Tim Riset ATP Defender Microsoft merilis panduan tentang cara mempertahankan Server pertukaran terhadap serangan berbahaya menggunakan deteksi berbasis perilaku.
Ada dua cara untuk skenario server Exchange diserang. Yang paling umum menyiratkan meluncurkan rekayasa sosial atau serangan unduhan drive-by yang menargetkan titik akhir.
Namun, tim ATP khawatir tentang jenis kedua, serangan yang mengeksploitasi kerentanan Exchange seperti CVE-2020-0688. Bahkan ada Peringatan NSA tentang kerentanan ini.
Microsoft sudah
dikabarkan pembaruan keamanan untuk memperbaiki kerentanan sejak Februari, tetapi penyerang masih menemukan server yang tidak ditambal dan karenanya, tetap rentan.Bagaimana cara saya bertahan dari serangan di server Exchage?
Pemblokiran dan penahanan berbasis perilaku kemampuan di Microsoft Defender ATP, yang menggunakan mesin yang berspesialisasi dalam mendeteksi ancaman dengan menganalisis perilaku, memunculkan aktivitas mencurigakan dan berbahaya di server Exchange.
Mesin pendeteksi ini diberdayakan oleh pengklasifikasi pembelajaran mesin berbasis cloud yang dilatih oleh pembuatan profil yang digerakkan oleh pakar dari yang sah vs. aktivitas mencurigakan di server Exchange.
Para peneliti Microsoft mempelajari serangan Exchange yang diselidiki selama bulan April, menggunakan beberapa deteksi berbasis perilaku khusus Exchange.
Bagaimana serangan terjadi?
Microsoft juga mengungkapkan rantai serangan yang digunakan pelaku untuk mengkompromikan server Exchange.
Tampaknya penyerang beroperasi di server Exchange lokal menggunakan shell web yang digunakan. Setiap kali penyerang berinteraksi dengan web shell, kumpulan aplikasi yang dibajak menjalankan perintah atas nama penyerang.
Ini adalah impian penyerang: langsung mendarat di server dan, jika server memiliki tingkat akses yang salah dikonfigurasi, dapatkan hak istimewa sistem.
Microsoft juga ditentukan dalam panduan bahwa serangan tersebut menggunakan beberapa teknik tanpa file, dengan menambahkan lapisan kompleksitas dalam mendeteksi dan memecahkan ancaman.
Serangan tersebut juga menunjukkan bahwa deteksi berbasis perilaku adalah kunci untuk melindungi organisasi.
Untuk saat ini, tampaknya menginstal tambalan adalah satu-satunya solusi yang tersedia untuk kerentanan server CVE-2020-0688.
