- Мицрософт Дефендер АТП истраживачки тим објавио је водич о томе како заштитити Екцханге сервере од злонамерних напади користећи откривање засновано на понашању.
- АТП тим је забринут напади то искориститиРазменарањивости попут ЦВЕ-2020-0688.
- Требало би да започнете са читањем више информација о размени са нашег Одељак Мицрософт Екцханге.
- Ако вас занима још вести о безбедности, слободно посетите нашу Сецурити Хуб.
Истраживачки тим Мицрософт Дефендер АТП објавио је водич за одбрану Екцханге сервери против злонамерних напада коришћењем откривања заснованог на понашању.
Постоје два начина за напад на Екцханге сервере. Најчешће подразумева покретање социјалног инжењеринга или напада путем преузимања који циљају крајње тачке.
АТП тим је забринут, међутим, због другог типа напада који користе Екцханге рањивости попут ЦВЕ-2020-0688. Било је чак и Упозорење НСА о овој рањивости.
Мицрософт већ издата безбедносно ажурирање ради поправљања рањивости од фебруара, али нападачи и даље проналазе сервере који нису закрпани и стога остају рањиви.
Како да се одбраним од напада на Екцхаге сервере?
Блокирање и задржавање засновано на понашању могућности у Мицрософт Дефендер АТП, који користе моторе који су се специјализовали за откривање претњи анализом понашања, појављују сумњиве и злонамерне активности на Екцханге серверима.
Ове моторе за откривање покрећу класификатори машинског учења засновани на облаку који су обучени стручним вођењем профила легитимних вс. сумњиве активности на Екцханге серверима.
Мицрософт истраживачи су проучавали Екцханге нападе истражене током априла, користећи вишеструке детекције засноване на понашању засноване на Екцханге-у.
Како се одвијају напади?
Мицрософт је такође открио ланац напада који преступници користе за компромитовање Екцханге сервера.
Чини се да нападачи раде на локалним Екцханге серверима користећи постављене веб љуске. Кад год су нападачи ступили у интеракцију са веб-љуском, отети базен апликација покренуо је команду у име нападача.
Ово је сан нападача: директно слетање на сервер и, ако сервер има погрешно конфигурисане нивое приступа, стекните системске привилегије.
Мицрософт такође назначено у водичу да су напади користили више техника без датотека, уз додатну сложеност у откривању и решавању претњи.
Напади су такође показали да су откривања заснована на понашању кључна за заштиту организација.
За сада се чини да је инсталирање закрпе једини доступан лек за рањивост сервера ЦВЕ-2020-0688.
