Microsoft relata aumento de ataques em servidores Exchange

  • Microsoft A equipe de pesquisa do Defender ATP lançou um guia sobre como defender servidores Exchange contra usuários ataques usando detecção baseada em comportamento.
  • A equipe ATP está preocupada com ataques naquela explorarIntercâmbiovulnerabilidades como CVE-2020-0688.
  • Você deve começar lendo mais informações sobre o Exchange em nosso Seção Microsoft Exchange.
  • Se você estiver interessado em mais notícias sobre segurança, visite nosso Hub de Segurança.
Aumento de ataques a servidores Exchage

Microsoft Defender ATP Research Team lançou um guia sobre como defender Servidores Exchange contra ataques maliciosos usando detecção baseada em comportamento.

Existem duas formas de cenários de ataques a servidores Exchange. O mais comum implica o lançamento de engenharia social ou ataques de download drive-by que visam endpoints.

A equipe ATP está preocupada, porém, com o segundo tipo, ataques que exploram vulnerabilidades do Exchange como CVE-2020-0688. Havia até um Aviso da NSA sobre esta vulnerabilidade.

Microsoft ja emitido a atualização de segurança para corrigir a vulnerabilidade desde fevereiro, mas os invasores ainda encontram servidores que não foram corrigidos e, portanto, permaneceram vulneráveis.

Como faço para me defender contra ataques a servidores Exchage?

Bloqueio e contenção com base em comportamento recursos no Microsoft Defender ATP, que usam motores especializados em detectando ameaças analisando o comportamento, revelam atividades suspeitas e mal-intencionadas em servidores Exchange.

Esses mecanismos de detecção são movidos por classificadores de aprendizado de máquina baseados em nuvem que são treinados por perfis orientados por especialistas de legítimo vs. atividades suspeitas em servidores Exchange.

Os pesquisadores da Microsoft estudaram os ataques do Exchange investigados durante o mês de abril, usando várias detecções baseadas em comportamento específicas do Exchange.

comportamentos suspeitos detectados no gráfico de servidores de troca

Como ocorrem os ataques?

A Microsoft também revelou a cadeia de ataques que os malfeitores estão usando para comprometer os servidores Exchange.

Parece que os invasores estão operando em servidores Exchange locais usando shells da web implantados. Sempre que os invasores interagiram com o shell da web, o pool de aplicativos sequestrados executou o comando em nome do invasor.

Este é o sonho de um invasor: aterrissar diretamente em um servidor e, se o servidor tiver níveis de acesso configurados incorretamente, obter privilégios de sistema.

Cadeia de ataque de servidores MS Exchange

Microsoft também especificado no guia que os ataques usaram várias técnicas sem arquivo, com camadas adicionais de complexidade na detecção e solução das ameaças.

Os ataques também demonstraram que as detecções baseadas em comportamento são essenciais para proteger as organizações.

Por enquanto, parece que a instalação do patch é o único remédio disponível para a vulnerabilidade do servidor CVE-2020-0688.

Uma reinicialização do Windows está pendente de uma instalação anterior [Corrigir]

Uma reinicialização do Windows está pendente de uma instalação anterior [Corrigir]Microsoft ExchangeExchange 2013

Uma simples reinicialização pode corrigir o problemaEste erro pode ser causado por falhas nas atualizações do sistema ou uma reinicialização pendente. Para corrigir isso, primeiro reinicie o comput...

Consulte Mais informação
Como instalar o módulo PowerShell do Exchange Online no Windows 11?

Como instalar o módulo PowerShell do Exchange Online no Windows 11?Microsoft ExchangeWindows 11

Siga as instruções passo a passo para fazer issoA primeira etapa é verificar ou instalar o Windows PowerShell ISE a ser instalado em seu computador. Caso contrário, você pode baixá-lo na Microsoft ...

Consulte Mais informação
Como se conectar ao Exchange Online no PowerShell?

Como se conectar ao Exchange Online no PowerShell?Microsoft Exchange

Explore duas maneiras simples de fazer issoO processamento em lote usando o PowerShell simplifica parte do nosso trabalho de administração.Este guia discutirá instruções passo a passo para conectar...

Consulte Mais informação