- Microsoft Tím Defender ATP Research Team vydal príručku, ako brániť servery Exchange pred škodlivými kódmi útoky pomocou detekcie založenej na správaní.
- Tím ATP má obavy útoky že využívaťVýmenazraniteľnosti ako CVE-2020-0688.
- Mali by ste začať prečítaním ďalších informácií o službe Exchange z našej webovej stránky Sekcia Microsoft Exchange.
- Ak vás zaujíma viac správ o bezpečnosti, neváhajte navštíviť našu Centrum zabezpečenia.
Tím Microsoft Defender ATP Research Team vydal príručku, ako sa brániť Exchange servery proti škodlivým útokom pomocou detekcie založenej na správaní.
Existujú dva spôsoby, ako scenáre napadnutia serverov Exchange. Najbežnejšie znamená spustenie útokov sociálneho inžinierstva alebo útokov typu „stiahnutím“ zameraných na koncové body.
Tím ATP sa však obáva druhého typu útokov, ktoré využívajú zraniteľné miesta Exchange, ako je CVE-2020-0688. Dokonca tam bola aj Varovanie NSA o tejto zraniteľnosti.
Microsoft už vydané aktualizácia zabezpečenia na odstránenie chyby zabezpečenia od februára, ale útočníci stále nájdu servery, ktoré neboli opravené, a preto zostali zraniteľné.
Ako sa môžem brániť proti útokom na servery Exchage?
Blokovanie a obmedzovanie na základe správania schopnosti v programe Microsoft Defender ATP, ktoré používajú motory, ktoré sa špecializujú na detegovanie hrozieb analýzou správania, objavujú podozrivé a škodlivé aktivity na serveroch Exchange.
Tieto detekčné mechanizmy sú poháňané cloudovými klasifikátormi strojového učenia, ktoré sú trénované odborníkom riadeným profilovaním legitímnych vs. podozrivé aktivity na serveroch Exchange.
Vedci z Microsoftu študovali útoky na Exchange vyšetrované v priebehu apríla pomocou viacerých detekcií založených na správaní špecifických pre Exchange.
Ako útoky prebiehajú?
Spoločnosť Microsoft tiež odhalila útočný reťazec, ktorý páchatelia používajú na kompromitáciu serverov Exchange.
Zdá sa, že útočníci operujú na lokálnych serveroch Exchange pomocou nasadených webových škrupín. Kedykoľvek útočníci interagovali s webovým shellom, unesený fond aplikácií spustil príkaz v mene útočníka.
Toto je sen útočníka: priame pristátie na serveri a, ak má server nesprávne nakonfigurované úrovne prístupu, získať systémové oprávnenia.
Microsoft tiež uvedené v príručke že útoky využívali viac technik bez súborov s pridanou vrstvou zložitosti pri odhaľovaní a riešení hrozieb.
Útoky tiež preukázali, že detekcie založené na správaní sú kľúčom k ochrane organizácií.
Zatiaľ sa zdá, že inštalácia opravy je jediným dostupným prostriedkom na odstránenie chyby servera CVE-2020-0688.
![Adresa príjemcu odmietnutá: Prístup odmietnutý [Oprava chyby]](/f/b0960ce50f403ff6957ecda69de416a3.png?width=300&height=460)
