- Microsoft Defender ATP Research Team släppte en guide om hur man kan försvara Exchange-servrar mot skadliga attacker med beteendebaserad detektering.
- ATP-teamet är orolig för attacker det där utnyttjaUtbytasårbarheter som CVE-2020-0688.
- Du bör börja med att läsa mer information om Exchange från vår Microsoft Exchange-avsnitt.
- Om du är intresserad av fler nyheter om säkerhet, besök gärna vår Säkerhetsnav.
Microsoft Defender ATP Research Team släppte en guide om hur man kan försvara Exchange-servrar mot skadliga attacker med beteendebaserad upptäckt.
Det finns två sätt att scenarier för Exchange-servrar som attackeras. Det vanligaste innebär att man startar social engineering eller drive-by-nedladdningsattacker riktade mot slutpunkter.
ATP-teamet är oroligt, dock för den andra typen, attacker som utnyttjar Exchange-sårbarheter som CVE-2020-0688. Det fanns till och med en NSA-varning om denna sårbarhet.
Microsoft redan utfärdad säkerhetsuppdateringen för att åtgärda sårbarheten sedan februari, men angripare hittar fortfarande servrar som inte har lappats och därmed förblev sårbara.
Hur försvarar jag mig mot attacker på Exchage-servrar?
Beteendebaserad blockering och inneslutning funktioner i Microsoft Defender ATP, som använder motorer som är specialiserade på upptäcka hot genom att analysera beteende, yta misstänkta och skadliga aktiviteter på Exchange-servrar.
Dessa detektionsmotorer drivs av molnbaserade maskininlärningsklassificerare som tränas genom expertstyrd profilering av legitim vs. misstänkta aktiviteter på Exchange-servrar.
Microsoft-forskarna studerade Exchange-attacker som undersöktes under april, med flera Exchange-specifika beteendebaserade upptäckter.
Hur sker attackerna?
Microsoft avslöjade också angreppskedjan som de felaktiga använder för att äventyra Exchange-servrarna.
Det verkar som att angripare arbetar på lokala Exchange-servrar med distribuerade webbskal. Varje gång angripare interagerade med webbskalet körde den kapade applikationspoolen kommandot på angriparens vägnar.
Detta är en angripares dröm: direkt landa på en server och, om servern har felkonfigurerade åtkomstnivåer, få systembehörigheter.
Microsoft också anges i guiden att attackerna använde flera fillösa tekniker, med extra lager av komplexitet för att upptäcka och lösa hoten.
Attacken visade också att beteendebaserade upptäckter är nyckeln till att skydda organisationer.
För närvarande verkar det som att installera korrigeringsfilen är det enda tillgängliga botemedlet för CVE-2020-0688-serverns sårbarhet.
