- מיקרוסופט צוות המחקר ATP Research פרסם מדריך כיצד להגן על שרתי Exchange מפני זדוניות התקפות באמצעות זיהוי מבוסס התנהגות.
- צוות ה- ATP מודאג מכך התקפות זֶה לְנַצֵללְהַחלִיףפגיעויות כמו CVE-2020-0688.
- עליכם להתחיל ולקרוא מידע נוסף על Exchange מ- שלנו סעיף Microsoft Exchange.
- אם אתה מעוניין בחדשות נוספות בנושא אבטחה, אל תהסס לבקר באתר שלנו מרכז האבטחה.
צוות המחקר של Microsoft Defender ATP פרסם מדריך כיצד להגן שרתי Exchange נגד התקפות זדוניות באמצעות זיהוי מבוסס התנהגות.
ישנן שתי דרכים לתרחישים של תקיפת שרתי Exchange. הנפוץ ביותר מרמז על השקת הנדסה חברתית או התקפות הורדה המונעות על נקודות קצה.
צוות ה- ATP מודאג, לעומת זאת מהסוג השני, מהתקפות המנצלות נקודות תורפה של Exchange כמו CVE-2020-0688. היה אפילו אזהרת NSA מפני פגיעות זו.
מיקרוסופט כבר הפיקו עדכון האבטחה לתיקון הפגיעות מאז פברואר, אך התוקפים עדיין מוצאים שרתים שלא תוקנו ולכן נותרו פגיעים.
כיצד אוכל להגן מפני התקפות על שרתי Exchage?
חסימה והתאמה מבוססת התנהגות יכולות ב- Microsoft Defender ATP, המשתמשות במנועים המתמחים ב איתור איומים על ידי ניתוח התנהגות, מציגים פעילויות חשודות וזדוניות בשרתי Exchange.
מנועי זיהוי אלה מופעלים על ידי סיווגי למידת מכונה מבוססי ענן המאומנים על ידי פרופיל מונחה מומחה של לגיטימי לעומת פעילויות חשודות בשרתי Exchange.
חוקרי מיקרוסופט בחנו התקפות Exchange שנחקרו במהלך אפריל, תוך שימוש בזיהויים מרובים המבוססים על התנהגות ספציפיים ל- Exchange.
איך מתרחשות ההתקפות?
מיקרוסופט חשפה גם את שרשרת ההתקפה בה משתמשים העוולים לפגיעה בשרתי Exchange.
נראה שתוקפים פועלים בשרתי Exchange מקומיים באמצעות פגזי אינטרנט פרוסים. בכל פעם שתוקפים אינטראקציה עם מעטפת האינטרנט, מאגר היישומים החטופים הפעיל את הפקודה בשם התוקף.
זהו חלומו של התוקף: נחיתה ישירה על שרת, ואם לשרת הגדר שגוי של רמות גישה, השג הרשאות מערכת.
גם מיקרוסופט צוין במדריך כי ההתקפות השתמשו בטכניקות חסרות תוכן מרובות, בתוספת שכבות מורכבות בזיהוי ופתרון האיומים.
ההתקפות הוכיחו גם שגילויים מבוססי התנהגות הם המפתח להגנה על ארגונים.
לעת עתה נראה כי התקנת התיקון היא התרופה היחידה הזמינה לפגיעות השרת CVE-2020-0688.
