- Microsoft Il team di ricerca Defender ATP ha pubblicato una guida su come difendere i server di Exchange dai malintenzionati attacchi utilizzando il rilevamento basato sul comportamento.
- La squadra ATP è preoccupata attacchi quella sfruttareScambiovulnerabilità come CVE-2020-0688.
- Dovresti iniziare leggendo maggiori informazioni su Exchange dal nostro Sezione Microsoft Exchange.
- Se sei interessato a ulteriori notizie sulla sicurezza, non esitare a visitare il nostro Centro di sicurezza.
Microsoft Defender ATP Research Team ha rilasciato una guida su come difendersi Exchange server Exchange contro gli attacchi dannosi utilizzando il rilevamento basato sul comportamento.
Esistono due modi per gli scenari di attacco dei server Exchange. Il più comune implica il lancio di attacchi di ingegneria sociale o download drive-by mirati agli endpoint.
Il team ATP è però preoccupato per il secondo tipo, attacchi che sfruttano le vulnerabilità di Exchange come CVE-2020-0688. C'era anche un Avviso della NSA su questa vulnerabilità.
Microsoft già rilasciato l'aggiornamento di sicurezza per correggere la vulnerabilità da febbraio, ma gli aggressori trovano ancora server che non sono stati aggiornati e, quindi, sono rimasti vulnerabili.
Come mi difendo dagli attacchi ai server di Exchange?
Blocco e contenimento basati sul comportamento funzionalità in Microsoft Defender ATP, che utilizzano motori specializzati in rilevare le minacce analizzando il comportamento, fanno emergere attività sospette e dannose sui server Exchange.
Questi motori di rilevamento sono alimentati da classificatori di machine learning basati su cloud che sono formati dalla profilazione guidata da esperti di legittimi vs. attività sospette nei server Exchange.
I ricercatori Microsoft hanno studiato gli attacchi di Exchange indagati nel mese di aprile, utilizzando più rilevamenti basati sul comportamento specifici di Exchange.
Come avvengono gli attacchi?
Microsoft ha anche rivelato la catena di attacco che i malintenzionati stanno utilizzando per compromettere i server Exchange.
Sembra che gli aggressori stiano operando su server Exchange locali utilizzando shell Web distribuite. Ogni volta che gli aggressori interagivano con la shell Web, il pool di applicazioni dirottate eseguiva il comando per conto dell'attaccante.
Questo è il sogno di un aggressore: atterrare direttamente su un server e, se il server ha livelli di accesso configurati in modo errato, ottenere privilegi di sistema.
anche Microsoft specificato nella guida che gli attacchi utilizzavano più tecniche fileless, con ulteriori livelli di complessità nel rilevamento e nella risoluzione delle minacce.
Gli attacchi hanno anche dimostrato che i rilevamenti basati sul comportamento sono fondamentali per proteggere le organizzazioni.
Per ora, sembra che l'installazione della patch sia l'unico rimedio disponibile per la vulnerabilità del server CVE-2020-0688.
