مارس 29, 2024
مقالات امنیت سایبری

مایکروسافت به کاربران توصیه می کند سرورهای Exchange خود را به روز نگه دارند و همچنین اقدامات احتیاطی را انجام دهند

مایکروسافت به کاربران توصیه می کند سرورهای Exchange خود را به روز نگه دارند و همچنین اقدامات احتیاطی مانند روشن کردن Windows Extended Protection و تنظیم امضای مبتنی بر گواهی بارهای سریال سازی PowerShell را انجام دهند.

تیم Exchange این غول نرم افزاری در پستی اعلام کرد که مهاجمانی که سعی می کنند سرورهای Exchange وصله نشده را هدف قرار دهند متوقف نمی شوند. ارزش زیرساخت‌های تبادل داخلی وصله‌نشده برای بازیگران متخاصم که سعی در سرقت داده‌ها یا انجام سایر تخلفات دارند بسیار زیاد است.

مایکروسافت همچنین خاطرنشان کرد که اقدامات کاهشی که منتشر کرده است تنها یک اصلاح موقت است و ممکن است «برای محافظت در برابر همه جایگشت‌های یک حمله ناکافی باشد» و کاربران را ملزم به نصب ارتقاهای امنیتی مورد نیاز برای ایمن کردن سرور می‌کند.


انتشار یک مشاوره فنی این هفته از Bitdefender شامل توصیفی از Exchange به عنوان یک "هدف کامل" و همچنین جدول زمانی برخی از حملات واقعی بود که از زنجیره های بهره برداری ProxyNotShell / OWASSRF از اواخر نوامبر 2022 استفاده کرده اند.


به گفته مارتین زوگک از Bitdefender، Exchange دارای شبکه پیچیده ای از خدمات فرانت اند و باطن و همچنین کدهای قدیمی برای سازگاری با عقب است. درخواست‌هایی که از لایه جلویی [خدمات دسترسی مشتری] می‌آیند توسط سرویس‌های باطن مورد اعتماد هستند.

خدمات پشتیبان متعددی توسط خود Exchange Server اجرا می شود که دارای امتیازات SYSTEM است که دلیل دیگری است. علاوه بر این، سوء استفاده‌ها می‌توانند به مهاجم دسترسی غیرمجاز به سرویس PowerShell راه دور را بدهند و به طور مؤثر در را برای اجرای دستورات مخرب باز کنند.

بدون نام 772x350 1 680x350<a href="/fa/httpswwwgooglecomampswwwcnetcomgoogle/" ampnewsmicrosofts office 365 is now microsoft a subscription for your lifehttpswwwgooglecomampswwwcnetcomgoogle httpswwwgooglecomampswwwcnetcomgoogle target ="blank" rel ="noopener" nofollow title ="">httpswwwgooglecomampswwwcnetcomgoogle ampnewsmicrosofts office 365 اکنون مایکروسافت 365 اشتراکی برای زندگی شماست <a>

برای این منظور، حملاتی که از نقاط ضعف ProxyNotShell و OWASSRF استفاده می‌کنند، بخش‌های مشاوره، حقوقی، تولید، املاک و عمده‌فروشی اتریش، کویت، لهستان، ترکیه و ایالات متحده را هدف قرار داده‌اند.

. عفونت هایی که هدفشان ایجاد پوسته های وب و ابزارهای نظارت و مدیریت از راه دور (RMM) مانند ConnectWise Control و GoTo Resolve است، به عنوان نقطه اوج اکثر حملات در نظر گرفته می شوند که به جای تمرکز و هدفمندی، فرصت طلبانه توصیف می شوند.

با پوسته‌های وب، مجرمان می‌توانند کارهای اضافی مختلفی را انجام دهند و حتی دسترسی به سایر گروه‌های هکر را برای کسب سود، علاوه بر ارائه یک تکنیک دسترسی از راه دور دائمی، دوباره بفروشند.

این امکان وجود دارد که از همین تکنیک برای افزایش دامنه حملات استفاده شده باشد زیرا در برخی موارد سرورهای مرحله‌ای که برای میزبانی بارها استفاده می‌شوند قبلاً سرورهای Microsoft Exchange را آلوده کرده بودند.
تلاش های ناموفق دشمنان برای دانلود Cobalt Strike و ایمپلنت مبتنی بر Go با نام رمز GoBackClient که می تواند اطلاعات سیستم را به دست آورد و پوسته های معکوس تولید کند نیز مشاهده شد.

توسعه دهندگان باج افزار کوبا (همچنین به عنوان COLDDRAW شناخته می شود)، UNC2596 (همچنین به عنوان Tropical Scorpius شناخته می شود)، سابقه سوء استفاده از آسیب پذیری های Microsoft Exchange را دارند. در یک حمله، دانلود کننده BUGHATCH با استفاده از دنباله بهره برداری ProxyNotShell حذف شد.

اگرچه ناقل اصلی عفونت دائماً در حال تغییر است و عوامل تهدید مشتاق هستند از هر فرصت جدید استفاده کنند، Zugec گفت که فعالیت های پس از بهره برداری آنها به خوبی شناخته شده است. یک معماری دفاعی عمیق بهترین دفاع در برابر حملات سایبری معاصر است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

fa_IRفارسی