تنصح Microsoft المستخدمين بالحفاظ على خوادم Exchange محدثة بالإضافة إلى اتخاذ الاحتياطات مثل تشغيل Windows Extended Protection وإعداد التوقيع المستند إلى الشهادة لحمولات PowerShell التسلسلية.
صرح فريق Exchange التابع لشركة البرمجيات العملاقة في منشور أن المهاجمين الذين يحاولون استهداف خوادم Exchange غير المصححة لن يتوقفوا. قيمة البنية التحتية المحلية للتبادل غير المصححة للجهات المعادية التي تحاول سرقة البيانات أو ارتكاب مخالفات أخرى كبيرة للغاية.
أشارت Microsoft أيضًا إلى أن عوامل التخفيف التي أصدرتها ليست سوى إصلاح مؤقت وقد "تصبح غير كافية للحماية من جميع تباديل الهجوم" ، مما يتطلب من المستخدمين تثبيت ترقيات الأمان المطلوبة لتأمين الخادم.
تضمن إصدار هذا الأسبوع من الاستشارات الفنية من Bitdefender وصفًا لـ Exchange بأنه "هدف مثالي" بالإضافة إلى جدول زمني لبعض الهجمات الفعلية التي استخدمت سلاسل استغلال ProxyNotShell / OWASSRF اعتبارًا من أواخر نوفمبر 2022.
يحتوي Exchange على شبكة معقدة من خدمات الواجهة الأمامية والخلفية ، بالإضافة إلى رمز قديم للتوافق مع الإصدارات السابقة ، وفقًا لمارتن Zugec من Bitdefender. الطلبات الواردة من طبقة [Client Access Services] الأمامية موثوقة من قبل خدمات الواجهة الخلفية.
يتم تشغيل العديد من خدمات الواجهة الخلفية بواسطة Exchange Server نفسه ، والذي يتمتع بامتيازات النظام ، وهذا سبب آخر. بالإضافة إلى ذلك ، يمكن أن تمنح الثغرات المهاجم وصولاً غير مصرح به إلى خدمة PowerShell البعيدة ، مما يفتح الباب بشكل فعال أمام تنفيذ الأوامر الضارة.
لهذا الغرض ، استهدفت الهجمات التي تستخدم نقاط ضعف ProxyNotShell و OWASSRF القطاعات الاستشارية والقانونية والتصنيعية والعقارية والجملة النمساوية والكويتية والبولندية والتركية والولايات المتحدة.
. تعتبر الإصابات التي تهدف إلى إنشاء قذائف الويب وأدوات المراقبة والإدارة عن بُعد (RMM) مثل ConnectWise Control و GoTo Resolve تتويجًا لغالبية الهجمات ، والتي توصف بأنها انتهازية وليست مركزة ومستهدفة.
باستخدام قذائف الويب ، يمكن للمجرمين القيام بمجموعة متنوعة من المهام الإضافية وحتى إعادة بيع الوصول إلى مجموعات القراصنة الأخرى لتحقيق ربح بالإضافة إلى توفير تقنية وصول مستمرة عن بُعد.
من المحتمل أنه تم استخدام نفس الأسلوب لزيادة نطاق الهجمات لأنه في بعض الحالات كانت الخوادم المرحلية المستخدمة لاستضافة الحمولات مصابة بالفعل بخوادم Microsoft Exchange.
شوهدت أيضًا محاولات الخصوم غير الناجحة لتنزيل Cobalt Strike وزرع قائم على Go مع الاسم الرمزي GoBackClient الذي يمكنه الحصول على معلومات النظام وإنشاء قذائف عكسية.
مطورو برامج الفدية الكوبية (المعروفة أيضًا باسم COLDDRAW) ، UNC2596 (المعروف أيضًا باسم Tropical Scorpius) ، لديهم تاريخ من إساءة استخدام ثغرات Microsoft Exchange. في هجوم واحد ، تم إسقاط أداة تنزيل BUGHATCH باستخدام تسلسل استغلال ProxyNotShell.
على الرغم من أن ناقل العدوى الأصلي يتغير باستمرار وأن الجهات التي تهدد التهديدات حريصة على الاستفادة من كل فرصة جديدة ، إلا أن Zugec قال إن أنشطة ما بعد الاستغلال معروفة جيدًا. الهندسة المعمارية المتعمقة هي أفضل دفاع ضد الهجمات الإلكترونية المعاصرة.
العربية 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada