- Microsoft Echipa de cercetare Defender ATP a lansat un ghid despre cum să apărați serverele Exchange împotriva rău intenționat atacuri folosind detectarea bazată pe comportament.
- Echipa ATP este îngrijorată atacuri acea exploataschimb valutarvulnerabilități precum CVE-2020-0688.
- Ar trebui să începeți prin a citi mai multe informații despre Exchange din pagina noastră Secțiunea Microsoft Exchange.
- Dacă sunteți interesat de mai multe știri despre securitate, nu ezitați să ne vizitați Centrul de securitate.
Echipa de cercetare Microsoft Defender ATP a lansat un ghid despre modul de apărare Servere de schimb împotriva atacurilor rău intenționate folosind detectarea bazată pe comportament.
Există două modalități de a ataca scenarii de servere Exchange. Cea mai frecventă implică lansarea ingineriei sociale sau a atacurilor de descărcare drive-by care vizează puncte finale.
Echipa ATP este îngrijorată, totuși, de cel de-al doilea tip de atacuri care exploatează vulnerabilitățile Exchange precum CVE-2020-0688. A existat chiar și un Avertisment NSA despre această vulnerabilitate.
Microsoft deja emis actualizarea de securitate pentru a remedia vulnerabilitatea din februarie, dar atacatorii găsesc în continuare servere care nu au fost corecte și, prin urmare, au rămas vulnerabile.
Cum mă apăr împotriva atacurilor pe serverele Exchage?
Blocare și izolare bazate pe comportament capabilități în Microsoft Defender ATP, care utilizează motoare specializate în detectarea amenințărilor prin analiza comportamentului, afișează activități suspecte și rău intenționate pe serverele Exchange.
Aceste motoare de detecție sunt alimentate de clasificatoare de învățare automată bazate pe cloud, care sunt instruite prin profilarea bazată pe experți, legată de vs. activități suspecte în serverele Exchange.
Cercetătorii Microsoft au studiat atacurile de schimb investigați în luna aprilie, folosind mai multe detecții specifice comportamentului bazate pe schimb.
Cum au loc atacurile?
Microsoft a dezvăluit, de asemenea, lanțul de atac pe care cei răi îl folosesc pentru a compromite serverele Exchange.
Se pare că atacatorii operează pe servere Exchange locale folosind shell-uri web implementate. Ori de câte ori atacatorii au interacționat cu shell-ul web, grupul de aplicații deturnate a executat comanda în numele atacatorului.
Acesta este visul unui atacator: aterizarea directă pe un server și, dacă serverul are niveluri de acces configurate greșit, obține privilegii de sistem.
Microsoft, de asemenea specificate în ghid că atacurile au folosit mai multe tehnici fără fișiere, cu straturi de complexitate adăugate în detectarea și rezolvarea amenințărilor.
Atacurile au demonstrat, de asemenea, că detecțiile bazate pe comportament sunt esențiale pentru protejarea organizațiilor.
Pentru moment, se pare că instalarea patch-ului este singurul remediu disponibil pentru vulnerabilitatea serverului CVE-2020-0688.
![Adresa destinatarului respinsă: acces refuzat [remediere erori]](/f/b0960ce50f403ff6957ecda69de416a3.png?width=300&height=460)
