- Microsoft Дослідницька група Defender ATP випустила керівництво щодо захисту серверів Exchange від зловмисних атаки за допомогою виявлення на основі поведінки.
- Команда ATP стурбована атаки що експлуатуватиОбмінвразливості як CVE-2020-0688.
- Спершу прочитайте більше інформації про біржу у нашому Розділ Microsoft Exchange.
- Якщо вас цікавлять більше новин про безпеку, сміливо завітайте до нас Центр безпеки.
Дослідницька група Microsoft Defender ATP випустила посібник із захисту Обмінні сервери проти шкідливих атак за допомогою виявлення на основі поведінки.
Існує два шляхи сценарію атаки серверів Exchange. Найпоширеніший передбачає запуск соціальної інженерії або атаки завантаження, спрямовані на кінцеві точки.
Команда ATP стурбована, однак, атаками другого типу, які використовують вразливості Exchange, такі як CVE-2020-0688. Був навіть Попередження АНБ про цю вразливість.
Microsoft вже виданий оновлення безпеки для виправлення вразливості з лютого, але зловмисники все ще знаходять сервери, які не були виправлені, а отже, залишаються вразливими.
Як я можу захиститися від атак на сервери Exchage?
Блокування та стримування на основі поведінки можливості в Microsoft Defender ATP, які використовують двигуни, що спеціалізуються на виявлення загроз шляхом аналізу поведінки, виявляє підозрілу та шкідливу діяльність на серверах Exchange.
Ці механізми виявлення працюють на основі хмарних класифікаторів машинного навчання, які проходять тренінги на основі експертного профілювання законних проти підозрілі дії на серверах Exchange.
Дослідники Microsoft вивчали атаки Exchange, розслідувані протягом квітня, використовуючи безліч виявлених особливостей поведінки на основі Exchange.
Як відбуваються напади?
Microsoft також розкрила ланцюг атак, який злочинці використовують для компрометації серверів Exchange.
Здається, що зловмисники працюють на локальних серверах Exchange, використовуючи розгорнуті веб-оболонки. Щоразу, коли зловмисники взаємодіяли з веб-оболонкою, викрадений пул програм запускав команду від імені зловмисника.
Це мрія зловмисника: безпосередньо потрапити на сервер і, якщо сервер має неправильно налаштовані рівні доступу, отримати системні привілеї.
Microsoft також зазначено у посібнику що атаки використовували безліч безфайлових методів, що додало складності у виявленні та вирішенні загроз.
Напади також продемонстрували, що виявлення на основі поведінки є ключовим фактором захисту організацій.
На даний момент, схоже, установка виправлення є єдиним доступним засобом усунення вразливості сервера CVE-2020-0688.
