Microsoft raai gebruikers aan om hul Exchange-bedieners op datum te hou, asook om voorsorgmaatreëls te tref, soos die aanskakel van Windows Uitgebreide Beskerming en die opstel van sertifikaat-gebaseerde ondertekening van PowerShell serialisering loonvragte.
Die sagtewarereus se Exchange-span het in 'n plasing gesê dat aanvallers wat probeer om onverwerkte Exchange-bedieners te teiken, nie sal stop nie. Die waarde van onverwerkte ruilinfrastruktuur op die perseel vir vyandige akteurs wat probeer om data te steel of ander oortredings te doen, is te groot.
Microsoft het ook opgemerk dat die versagtings wat dit vrygestel het slegs 'n tydelike oplossing is en "onvoldoende kan word om teen alle permutasies van 'n aanval te waak", wat vereis dat gebruikers die vereiste sekuriteitsopgraderings installeer om die bediener te beveilig.
Hierdie week se vrystelling van 'n tegniese advies van Bitdefender het 'n beskrywing van Exchange as 'n "perfekte teiken" ingesluit, sowel as 'n tydlyn van sommige van die werklike aanvalle wat die ProxyNotShell / OWASSRF-ontginningskettings vanaf einde November 2022 gebruik het.
Exchange het 'n ingewikkelde netwerk van frontend- en backend-dienste, sowel as ou kode vir terugwaartse versoenbaarheid, volgens Martin Zugec van Bitdefender. Die versoeke wat van die voorkant [Client Access Services]-laag kom, word deur backend-dienste vertrou.
Talle backend-dienste word deur Exchange Server self bestuur, wat STELSEL-voorregte het, wat nog 'n rede is. Boonop kan die misbruik die aanvaller ongemagtigde toegang tot die afgeleë PowerShell-diens gee, wat effektief die deur oopmaak vir die uitvoering van kwaadwillige opdragte.
Vir daardie doel het aanvalle wat die ProxyNotShell en OWASSRF-swakhede gebruik die Oostenrykse, Koeweitse, Poolse, Turkse en Verenigde State-gebaseerde konsultasie-, regs-, vervaardigings-, eiendoms- en groothandelsektore geteiken.
. Infeksies wat daarop gemik is om webdoppe en nutsmiddels vir afstandmonitering en bestuur (RMM) soos ConnectWise Control en GoTo Resolve te vestig, word beskou as die hoogtepunt van die meerderheid aanvalle, wat beskryf word as opportunisties eerder as gefokus en geteiken.
Met webdoppe kan misdadigers 'n verskeidenheid bykomende take doen en selfs toegang aan ander hackergroepe herverkoop vir 'n wins, benewens die verskaffing van 'n aanhoudende afstandtoegangstegniek.
Dit is moontlik dat dieselfde tegniek gebruik is om die omvang van die aanvalle te vergroot, want in sommige gevalle was die opstelbedieners wat gebruik is om die loonvragte te huisves reeds besmette Microsoft Exchange-bedieners.
Teenstanders se onsuksesvolle pogings om Cobalt Strike en 'n Go-gebaseerde inplantaat met die kodenaam GoBackClient af te laai wat stelselinligting kan bekom en omgekeerde doppe kan genereer, is ook gesien.
Die ontwikkelaars van Kuba (ook bekend as COLDDRAW) losprysware, UNC2596 (ook bekend as Tropical Scorpius), het 'n geskiedenis van misbruik van Microsoft Exchange-kwesbaarhede. In een aanval is die BUGHATCH-aflaaier laat val met die ProxyNotShell-ontginningsvolgorde.
Alhoewel die oorspronklike infeksievektor voortdurend verander en bedreigingsrolspelers gretig is om elke nuwe kans te benut, het Zugec gesê dat hul post-uitbuitingsaktiwiteite welbekend is. 'n Verdediging-in-diepte argitektuur is die beste verdediging teen kontemporêre kuberaanvalle.
Afrikaans 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada