- マイクロソフト Defender ATP Research Teamは、悪意のあるものからExchangeサーバーを防御する方法に関するガイドをリリースしました 攻撃 動作ベースの検出を使用します。
- ATPチームは心配しています 攻撃 それ エクスプロイト両替脆弱性 CVE-2020-0688のように。
- あなたは私たちからExchangeに関するより多くの情報を読むことから始めるべきです MicrosoftExchangeセクション.
- セキュリティに関するニュースに興味がある場合は、お気軽に セキュリティハブ.
![Exchageサーバーへの攻撃の増加](/f/520cba5d5b00349fad5c3e1744268fa1.jpg)
Microsoft Defender ATP Research Teamは、防御方法に関するガイドをリリースしました Exchangeサーバー 動作ベースの検出を使用した悪意のある攻撃に対して。
Exchangeサーバーが攻撃されるシナリオには2つの方法があります。 最も一般的なのは、エンドポイントを標的としたソーシャルエンジニアリングまたはドライブバイダウンロード攻撃を開始することです。
ATPチームは、CVE-2020-0688のようなExchangeの脆弱性を悪用する2番目のタイプの攻撃について心配しています。 さえありました この脆弱性に関するNSAの警告.
マイクロソフトはすでに 発行済み 2月以降の脆弱性を修正するためのセキュリティ更新プログラムですが、攻撃者はパッチが適用されていないため、脆弱性が残っているサーバーを見つけます。
Exchageサーバーへの攻撃を防ぐにはどうすればよいですか?
動作ベースのブロックと封じ込め に特化したエンジンを使用するMicrosoftDefenderATPの機能 行動を分析して脅威を検出する、Exchangeサーバーでの疑わしい悪意のあるアクティビティを表面化します。
これらの検出エンジンは、正当な対の専門家主導のプロファイリングによってトレーニングされたクラウドベースの機械学習分類器によって強化されています。 Exchangeサーバーでの疑わしいアクティビティ。
マイクロソフトの研究者は、複数のExchange固有の動作ベースの検出を使用して、4月に調査されたExchange攻撃を調査しました。
![Exchangeサーバーのグラフで検出された疑わしい動作](/f/87c614ab9ca7de26926fa601a73dea98.png)
攻撃はどのように行われますか?
マイクロソフトはまた、不正行為者がExchangeサーバーを侵害するために使用している攻撃チェーンを明らかにしました。
攻撃者は、展開されたWebシェルを使用してオンプレミスのExchangeサーバーを操作しているようです。 攻撃者がWebシェルと対話するたびに、ハイジャックされたアプリケーションプールが攻撃者に代わってコマンドを実行しました。
これは攻撃者の夢です。サーバーに直接アクセスし、サーバーのアクセスレベルが正しく構成されていない場合は、システム権限を取得します。
![MSExchangeサーバーの攻撃チェーン](/f/3bdb07987efa2e7e72eafe089195406a.png)
マイクロソフトも ガイドで指定 攻撃は複数のファイルレス技術を使用し、脅威の検出と解決に複雑さの層が追加されたこと。
攻撃はまた、行動ベースの検出が組織を保護するための鍵であることを示しました。
今のところ、パッチのインストールがCVE-2020-0688サーバーの脆弱性に対する唯一の利用可能な救済策であるようです。