Microsoft istifadəçilərə Exchange serverlərini yeni saxlamağı, həmçinin Windows Genişləndirilmiş Qoruma proqramını işə salmaq və PowerShell serializasiya yüklərinin sertifikat əsasında imzalanmasını qurmaq kimi ehtiyat tədbirləri görməyi tövsiyə edir.
Proqram nəhənginin Exchange Team, bir yazıda qeyd etdi ki, yamaqsız Exchange serverlərini hədəf almağa cəhd edən təcavüzkarlar dayanmayacaq. Məlumatları oğurlamağa və ya digər qanunsuzluqlara cəhd edən düşmən aktyorlar üçün yamaqlanmamış yerli Mübadilə infrastrukturunun dəyəri çox böyükdür.
Microsoft, həmçinin qeyd etdi ki, buraxdığı yumşaldılmalar yalnız müvəqqəti düzəlişdir və “hücumun bütün dəyişdirmələrindən qorunmaq üçün yetərli olmaya bilər” və istifadəçilərdən serverin təhlükəsizliyini təmin etmək üçün tələb olunan təhlükəsizlik təkmilləşdirmələrini quraşdırmalarını tələb edir.
Bitdefender-dən texniki məsləhətin bu həftə buraxılışına Exchange-in “mükəmməl hədəf” kimi təsviri, həmçinin 2022-ci ilin noyabr ayının sonundan etibarən ProxyNotShell / OWASSRF istismar zəncirlərindən istifadə edən bəzi faktiki hücumların qrafiki daxil edilib.
Bitdefender-dən Martin Zugec-ə görə, Exchange mürəkkəb frontend və backend xidmətləri şəbəkəsinə, həmçinin geriyə uyğunluq üçün köhnə koda malikdir. Front-end [Client Access Services] qatından gələn sorğulara arxa xidmətlər etibar edir.
Çoxsaylı backend xidmətləri SİSTEM imtiyazlarına malik olan Exchange Server tərəfindən idarə olunur ki, bu da başqa bir səbəbdir. Bundan əlavə, istismarlar təcavüzkarın uzaq PowerShell xidmətinə icazəsiz giriş imkanı verə bilər və bununla da zərərli əmrlərin icrası üçün qapını effektiv şəkildə açır.
Bu məqsədlə, ProxyNotShell və OWASSRF zəif cəhətlərindən istifadə edən hücumlar Avstriya, Küveyt, Polşa, Türkiyə və ABŞ-da yerləşən məsləhət, hüquq, istehsal, daşınmaz əmlak və topdansatış sektorlarını hədəf alıb.
. ConnectWise Control və GoTo Resolve kimi veb qabıqları və uzaqdan izləmə və idarəetmə (RMM) alətləri yaratmağı hədəfləyən infeksiyalar fokuslanmış və hədəflənmiş deyil, fürsətçi kimi təsvir edilən hücumların əksəriyyətinin kulminasiya nöqtəsi hesab olunur.
Veb qabıqları ilə cinayətkarlar müxtəlif əlavə tapşırıqları yerinə yetirə və hətta davamlı uzaqdan giriş texnikasını təmin etməklə yanaşı, mənfəət üçün digər haker qruplarına girişi yenidən sata bilərlər.
Mümkündür ki, hücumların əhatə dairəsini artırmaq üçün eyni texnikadan istifadə edilib, çünki bəzi hallarda faydalı yükləri yerləşdirmək üçün istifadə edilən quruluş serverləri artıq Microsoft Exchange serverlərinə yoluxmuşdur.
Düşmənlərin Cobalt Strike və sistem məlumatlarını əldə edə və əks mərmilər yarada bilən GoBackClient kod adı olan Go əsaslı implantı yükləmək üçün uğursuz cəhdləri də görüldü.
Kubanın (həmçinin COLDDRAW kimi də tanınır) ransomware proqramı olan UNC2596 (həmçinin Tropical Scorpius kimi tanınır) tərtibatçılarının Microsoft Exchange zəifliklərindən sui-istifadə tarixi var. Bir hücumda, BUGHATCH yükləyicisi ProxyNotShell istismar ardıcıllığından istifadə edərək atıldı.
Orijinal infeksiya vektoru daim dəyişsə də və təhlükə aktorları hər yeni şansdan yararlanmağa can atsalar da, Zugec onların istismardan sonrakı fəaliyyətlərinin yaxşı məlum olduğunu söylədi. Dərin müdafiə arxitekturası müasir kiberhücumlara qarşı ən yaxşı müdafiədir.
Azərbaycan dili 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada