- მაიკროსოფტი დამცველის ATP კვლევის ჯგუფმა გამოაქვეყნა სახელმძღვანელო, თუ როგორ უნდა დავიცვათ Exchange სერვერები მავნე პროგრამებისგან შეტევები ქცევაზე დაფუძნებული გამოვლენის გამოყენებით.
- ATP გუნდი წუხს შეტევები რომ ექსპლოიტირებაᲒაცვლამოწყვლადობა CVE-2020-0688 მოსწონს.
- თქვენ უნდა დაიწყოთ დამატებითი ინფორმაციის წაკითხვა ჩვენი გაცვლითი პროგრამიდან Microsoft Exchange განყოფილება.
- თუ თქვენ დაინტერესებული ხართ უსაფრთხოების შესახებ მეტი სიახლეებით, ეწვიეთ ჩვენს გვერდს უსაფრთხოების ცენტრი.
Microsoft Defender ATP კვლევის ჯგუფმა გამოაქვეყნა სახელმძღვანელო, თუ როგორ უნდა დავიცვათ თავი გაცვლითი სერვერები მავნე შეტევების წინააღმდეგ ქცევაზე დაფუძნებული გამოვლენის გამოყენებით.
გაცვლითი სერვერების სცენარების შეტევის ორი გზა არსებობს. ყველაზე გავრცელებული გულისხმობს სოციალური ინჟინერიის ან დისკის საშუალებით გადმოტვირთვის შეტევების დაწყებას, რომლებიც მიზნად ისახავს საბოლოო წერტილებს.
ATP გუნდი შეშფოთებულია მეორე ტიპის შეტევებით, რომლებიც იყენებენ ბირჟის მოწყვლადობას, როგორიცაა CVE-2020-0688. იყო კი NSA აფრთხილებს ამ მოწყვლადობის შესახებ.
Microsoft უკვე გამოცემული, მიღებული უსაფრთხოების განახლება თებერვლიდან მოწყვლადობის გამოსასწორებლად, მაგრამ თავდამსხმელები კვლავ პოულობენ სერვერებს, რომლებიც არ იყო დაპატჩებული და, შესაბამისად, დაუცველები რჩებოდნენ.
როგორ დავიცვა თავი Exchage სერვერებზე თავდასხმებისგან?
ქცევაზე დაფუძნებული დაბლოკვა და შეკავება შესაძლებლობები Microsoft Defender ATP– ში, რომლებიც იყენებენ სპეციალურ სპეციალიზირებულ ძრავებს საფრთხეების გამოვლენა ქცევის ანალიზით, გააქტიურეთ საეჭვო და მავნე მოქმედებები Exchange სერვერებზე.
ამ აღმომჩენი ძრავები იკვებება ღრუბელზე დაფუძნებული მანქანური სწავლების კლასიფიკატორებით, რომლებიც მომზადებულია ლეგიტიმური vs. საეჭვო საქმიანობა Exchange სერვერებში.
მაიკროსოფტის მკვლევარებმა შეისწავლეს გაცვლითი შეტევები, აპრილის თვეში გამოკვლეული, გაცვლითი სპეციფიკური ქცევის საფუძველზე.
როგორ ხდება შეტევები?
Microsoft- მა ასევე გამოავლინა შეტევის ჯაჭვი, რომელსაც ბოროტმოქმედები იყენებენ Exchange სერვერების კომპრომისზე წასასვლელად.
როგორც ჩანს, თავდამსხმელები მოქმედებენ გაცვლითი სერვერების ადგილზე, განლაგებული ვებ – ჭურვების გამოყენებით. ყოველთვის, როდესაც თავდამსხმელები ურთიერთქმედებდნენ ვებსაიტთან, გატაცებული აპლიკაციების ჯგუფმა ბრძანება გაატარა თავდამსხმელის სახელით.
ეს თავდამსხმელის ოცნებაა: პირდაპირ დაეშვას სერვერზე და, თუ სერვერს არასწორად აქვს კონფიგურირებული წვდომის დონე, მოიპოვოს სისტემის პრივილეგიები.
Microsoft ასევე მითითებულია სახელმძღვანელოში რომ შეტევები იყენებდა მრავალ ფაილურ ტექნიკას, სირთულის დამატებით ფენებს საფრთხეების აღმოჩენისა და გადაჭრისას.
თავდასხმებმა ასევე აჩვენა, რომ ქცევაზე დაფუძნებული ამოცანები ორგანიზაციების დასაცავად არის მნიშვნელოვანი.
ამ დროისთვის, როგორც ჩანს, პატჩის დაყენება ერთადერთი საშუალებაა CVE-2020-0688 სერვერის დაუცველობისთვის.
![მიმღების მისამართი უარყოფილია: წვდომა აკრძალულია [შეცდომის გამოსწორება]](/f/b0960ce50f403ff6957ecda69de416a3.png?width=300&height=460)
