- Microsoft Defender ATP Research Team heeft een handleiding uitgebracht over het verdedigen van Exchange-servers tegen kwaadwillenden aanvallen gebruik van op gedrag gebaseerde detectie.
- Het ATP-team maakt zich zorgen over aanvallen dat exploiterenUitwisselingkwetsbaarheden zoals CVE-2020-0688.
- U zou moeten beginnen met het lezen van meer informatie over Exchange van onze Microsoft Exchange-sectie.
- Als u geïnteresseerd bent in meer nieuws over beveiliging, bezoek dan gerust onze Beveiligingshub.
Microsoft Defender ATP Research Team heeft een gids uitgebracht over hoe te verdedigen Exchange-servers tegen kwaadaardige aanvallen met behulp van op gedrag gebaseerde detectie.
Er zijn twee manieren om scenario's van aanvallen op Exchange-servers te voorkomen. De meest voorkomende is het lanceren van social engineering of drive-by download-aanvallen gericht op eindpunten.
Het ATP-team maakt zich echter zorgen over het tweede type, aanvallen die misbruik maken van Exchange-kwetsbaarheden zoals CVE-2020-0688. Er was zelfs een NSA-waarschuwing over deze kwetsbaarheid.
Microsoft al uitgegeven de beveiligingsupdate om het beveiligingslek te verhelpen sinds februari, maar aanvallers vinden nog steeds servers die niet zijn gepatcht en dus kwetsbaar bleven.
Hoe verdedig ik me tegen aanvallen op Exchange-servers?
Op gedrag gebaseerde blokkering en inperking mogelijkheden in Microsoft Defender ATP, die gebruik maken van engines die gespecialiseerd zijn in bedreigingen detecteren door gedrag te analyseren, verdachte en kwaadaardige activiteiten op Exchange-servers aan het licht brengen.
Deze detectie-engines worden aangedreven door cloudgebaseerde machine learning-classificaties die zijn getraind door expertgestuurde profilering van legitieme vs. verdachte activiteiten op Exchange-servers.
De Microsoft-onderzoekers bestudeerden Exchange-aanvallen die in april werden onderzocht, met behulp van meerdere Exchange-specifieke gedragsgebaseerde detecties.
Hoe vinden de aanslagen plaats?
Microsoft onthulde ook de aanvalsketen die de overtreders gebruiken om de Exchange-servers te compromitteren.
Het lijkt erop dat aanvallers opereren op on-premises Exchange-servers met behulp van geïmplementeerde webshells. Telkens wanneer aanvallers interactie hadden met de webshell, voerde de gekaapte groep van applicaties de opdracht uit namens de aanvaller.
Dit is de droom van een aanvaller: direct op een server landen en, als de server verkeerd geconfigureerde toegangsniveaus heeft, systeemrechten krijgen.
Microsoft ook gespecificeerd in de gids dat de aanvallen meerdere bestandsloze technieken gebruikten, met extra lagen van complexiteit bij het detecteren en oplossen van de bedreigingen.
De aanvallen toonden ook aan dat op gedrag gebaseerde detecties essentieel zijn voor het beschermen van organisaties.
Voorlopig lijkt het erop dat het installeren van de patch de enige beschikbare remedie is voor de CVE-2020-0688-serverkwetsbaarheid.
