מיקרוסופט מדווחת על התקפות מוגברות על שרתי Exchange

צוות המחקר של Microsoft Defender ATP פרסם מדריך כיצד להגן שרתי Exchange נגד התקפות זדוניות באמצעות זיהוי מבוסס התנהגות.

ישנן שתי דרכים לתרחישים של תקיפת שרתי Exchange. הנפוץ ביותר מרמז על השקת הנדסה חברתית או התקפות הורדה המונעות על נקודות קצה.

צוות ה- ATP מודאג, לעומת זאת מהסוג השני, מהתקפות המנצלות נקודות תורפה של Exchange כמו CVE-2020-0688. היה אפילו אזהרת NSA מפני פגיעות זו.

מיקרוסופט כבר הפיקו עדכון האבטחה לתיקון הפגיעות מאז פברואר, אך התוקפים עדיין מוצאים שרתים שלא תוקנו ולכן נותרו פגיעים.

כיצד אוכל להגן מפני התקפות על שרתי Exchage?

חסימה והתאמה מבוססת התנהגות יכולות ב- Microsoft Defender ATP, המשתמשות במנועים המתמחים ב איתור איומים על ידי ניתוח התנהגות, מציגים פעילויות חשודות וזדוניות בשרתי Exchange.

instagram story viewer

מנועי זיהוי אלה מופעלים על ידי סיווגי למידת מכונה מבוססי ענן המאומנים על ידי פרופיל מונחה מומחה של לגיטימי לעומת פעילויות חשודות בשרתי Exchange.

חוקרי מיקרוסופט בחנו התקפות Exchange שנחקרו במהלך אפריל, תוך שימוש בזיהויים מרובים המבוססים על התנהגות ספציפיים ל- Exchange.

איך מתרחשות ההתקפות?

מיקרוסופט חשפה גם את שרשרת ההתקפה בה משתמשים העוולים לפגיעה בשרתי Exchange.

נראה שתוקפים פועלים בשרתי Exchange מקומיים באמצעות פגזי אינטרנט פרוסים. בכל פעם שתוקפים אינטראקציה עם מעטפת האינטרנט, מאגר היישומים החטופים הפעיל את הפקודה בשם התוקף.

זהו חלומו של התוקף: נחיתה ישירה על שרת, ואם לשרת הגדר שגוי של רמות גישה, השג הרשאות מערכת.

גם מיקרוסופט צוין במדריך כי ההתקפות השתמשו בטכניקות חסרות תוכן מרובות, בתוספת שכבות מורכבות בזיהוי ופתרון האיומים.

ההתקפות הוכיחו גם שגילויים מבוססי התנהגות הם המפתח להגנה על ארגונים.

לעת עתה נראה כי התקנת התיקון היא התרופה היחידה הזמינה לפגיעות השרת CVE-2020-0688.