مایکروسافت به کاربران توصیه می کند سرورهای Exchange خود را به روز نگه دارند و همچنین اقدامات احتیاطی مانند روشن کردن Windows Extended Protection و تنظیم امضای مبتنی بر گواهی بارهای سریال سازی PowerShell را انجام دهند.
تیم Exchange این غول نرم افزاری در پستی اعلام کرد که مهاجمانی که سعی می کنند سرورهای Exchange وصله نشده را هدف قرار دهند متوقف نمی شوند. ارزش زیرساختهای تبادل داخلی وصلهنشده برای بازیگران متخاصم که سعی در سرقت دادهها یا انجام سایر تخلفات دارند بسیار زیاد است.
مایکروسافت همچنین خاطرنشان کرد که اقدامات کاهشی که منتشر کرده است تنها یک اصلاح موقت است و ممکن است «برای محافظت در برابر همه جایگشتهای یک حمله ناکافی باشد» و کاربران را ملزم به نصب ارتقاهای امنیتی مورد نیاز برای ایمن کردن سرور میکند.
انتشار یک مشاوره فنی این هفته از Bitdefender شامل توصیفی از Exchange به عنوان یک "هدف کامل" و همچنین جدول زمانی برخی از حملات واقعی بود که از زنجیره های بهره برداری ProxyNotShell / OWASSRF از اواخر نوامبر 2022 استفاده کرده اند.
به گفته مارتین زوگک از Bitdefender، Exchange دارای شبکه پیچیده ای از خدمات فرانت اند و باطن و همچنین کدهای قدیمی برای سازگاری با عقب است. درخواستهایی که از لایه جلویی [خدمات دسترسی مشتری] میآیند توسط سرویسهای باطن مورد اعتماد هستند.
خدمات پشتیبان متعددی توسط خود Exchange Server اجرا می شود که دارای امتیازات SYSTEM است که دلیل دیگری است. علاوه بر این، سوء استفادهها میتوانند به مهاجم دسترسی غیرمجاز به سرویس PowerShell راه دور را بدهند و به طور مؤثر در را برای اجرای دستورات مخرب باز کنند.
برای این منظور، حملاتی که از نقاط ضعف ProxyNotShell و OWASSRF استفاده میکنند، بخشهای مشاوره، حقوقی، تولید، املاک و عمدهفروشی اتریش، کویت، لهستان، ترکیه و ایالات متحده را هدف قرار دادهاند.
. عفونت هایی که هدفشان ایجاد پوسته های وب و ابزارهای نظارت و مدیریت از راه دور (RMM) مانند ConnectWise Control و GoTo Resolve است، به عنوان نقطه اوج اکثر حملات در نظر گرفته می شوند که به جای تمرکز و هدفمندی، فرصت طلبانه توصیف می شوند.
با پوستههای وب، مجرمان میتوانند کارهای اضافی مختلفی را انجام دهند و حتی دسترسی به سایر گروههای هکر را برای کسب سود، علاوه بر ارائه یک تکنیک دسترسی از راه دور دائمی، دوباره بفروشند.
این امکان وجود دارد که از همین تکنیک برای افزایش دامنه حملات استفاده شده باشد زیرا در برخی موارد سرورهای مرحلهای که برای میزبانی بارها استفاده میشوند قبلاً سرورهای Microsoft Exchange را آلوده کرده بودند.
تلاش های ناموفق دشمنان برای دانلود Cobalt Strike و ایمپلنت مبتنی بر Go با نام رمز GoBackClient که می تواند اطلاعات سیستم را به دست آورد و پوسته های معکوس تولید کند نیز مشاهده شد.
توسعه دهندگان باج افزار کوبا (همچنین به عنوان COLDDRAW شناخته می شود)، UNC2596 (همچنین به عنوان Tropical Scorpius شناخته می شود)، سابقه سوء استفاده از آسیب پذیری های Microsoft Exchange را دارند. در یک حمله، دانلود کننده BUGHATCH با استفاده از دنباله بهره برداری ProxyNotShell حذف شد.
اگرچه ناقل اصلی عفونت دائماً در حال تغییر است و عوامل تهدید مشتاق هستند از هر فرصت جدید استفاده کنند، Zugec گفت که فعالیت های پس از بهره برداری آنها به خوبی شناخته شده است. یک معماری دفاعی عمیق بهترین دفاع در برابر حملات سایبری معاصر است.