- Microsoft Defender ATP Research Team je izdal vodnik o tem, kako zaščititi strežnike Exchange pred zlonamernimi napadi z uporabo detekcije na podlagi vedenja.
- Ekipa ATP je zaskrbljena napadi to izkoriščatiIzmenjavaranljivosti kot je CVE-2020-0688.
- Za začetek preberite več informacij o borzi pri našem Oddelek Microsoft Exchange.
- Če vas zanima več novic o varnosti, vas prosimo, da obiščete našo Varnostno vozlišče.
Raziskovalna skupina Microsoft Defender ATP je izdala vodnik za obrambo Exchange strežniki proti zlonamernim napadom z uporabo vedenjskega odkrivanja.
Obstajata dva načina za napad na strežnike Exchange. Najpogostejši pomeni uvedbo napadov na socialni inženiring ali s prenosom, ki ciljajo na končne točke.
Ekipa ATP pa je zaskrbljena zaradi druge vrste napadov, ki izkoriščajo ranljivosti Exchange, kot je CVE-2020-0688. Bil je celo Opozorilo NSA o tej ranljivosti.
Microsoft že izdala varnostna posodobitev za odpravo ranljivosti od februarja, vendar napadalci še vedno najdejo strežnike, ki niso bili popravljeni in so zato ostali ranljivi.
Kako se lahko zaščitim pred napadi na strežnike Exchage?
Blokiranje in zadrževanje na podlagi vedenja zmogljivosti v programu Microsoft Defender ATP, ki uporabljajo specializirane motorje odkrivanje groženj z analizo vedenja, prikaže sumljive in zlonamerne dejavnosti na strežnikih Exchange.
Te mehanizme za zaznavanje poganjajo klasifikatorji strojnega učenja v oblaku, ki so usposobljeni s strokovnim usmerjanjem profiliranja legitimnih sumljive dejavnosti v strežnikih Exchange.
Raziskovalci Microsofta so preučevali napade Exchange, ki so jih preiskovali aprila, z uporabo več zaznavanj, ki temeljijo na vedenju, ki temelji na Exchangeu.
Kako potekajo napadi?
Microsoft je prav tako razkril napadalno verigo, ki jo prestopniki uporabljajo za ogrožanje strežnikov Exchange.
Zdi se, da napadalci delujejo na krajevnih strežnikih Exchange z uporabo razporejenih spletnih lupin. Kadarkoli so napadalci komunicirali s spletno lupino, je ugrabljeno področje aplikacij izvajalo ukaz v imenu napadalca.
To so sanje napadalca: neposredno pristajanje na strežniku in, če ima strežnik napačno konfigurirane ravni dostopa, pridobite sistemske privilegije.
Tudi Microsoft naveden v priročniku da so napadi uporabili več tehnik brez datotek, pri čemer je bilo zaznavanje in reševanje groženj še bolj zapleteno.
Napadi so tudi pokazali, da so odkrivanja na podlagi vedenja ključna za zaščito organizacij.
Za zdaj se zdi, da je namestitev popravka edino razpoložljivo sredstvo za ranljivost strežnika CVE-2020-0688.
