માઈક્રોસોફ્ટ વપરાશકર્તાઓને તેમના એક્સચેન્જ સર્વર્સને અદ્યતન જાળવવા તેમજ વિન્ડોઝ એક્સટેન્ડેડ પ્રોટેક્શનને ચાલુ કરવા અને પાવરશેલ સિરિયલાઈઝેશન પેલોડ્સના પ્રમાણપત્ર-આધારિત હસ્તાક્ષર સેટ કરવા માટે સાવચેતી રાખવાની સલાહ આપે છે.
સોફ્ટવેર જાયન્ટની એક્સચેન્જ ટીમે એક પોસ્ટમાં જણાવ્યું હતું કે અનપેચ્ડ એક્સચેન્જ સર્વર્સને નિશાન બનાવવાનો પ્રયાસ કરનારા હુમલાખોરો બંધ નહીં થાય. ડેટા ચોરવાનો અથવા અન્ય ગેરરીતિ આચરવાનો પ્રયાસ કરતા પ્રતિકૂળ કલાકારો માટે અનપેચ્ડ ઓન-પ્રિમાઈસીસ ઈન્ફ્રાસ્ટ્રક્ચરનું મૂલ્ય ઘણું વધારે છે.
માઈક્રોસોફ્ટે એ પણ નોંધ્યું છે કે તેણે જે ઘટાડો કર્યો છે તે માત્ર એક અસ્થાયી સુધારો છે અને "હુમલાનાં તમામ ક્રમચયો સામે રક્ષણ આપવા માટે અપર્યાપ્ત બની શકે છે," સર્વરને સુરક્ષિત કરવા માટે વપરાશકર્તાઓને જરૂરી સુરક્ષા અપગ્રેડ ઇન્સ્ટોલ કરવાની જરૂર છે.
Bitdefender તરફથી આ અઠવાડિયે ટેકનિકલ એડવાઈઝરીની રજૂઆતમાં "સંપૂર્ણ લક્ષ્ય" તરીકે એક્સચેન્જનું વર્ણન તેમજ નવેમ્બર 2022 ના અંતથી ProxyNotShell / OWASSRF શોષણ સાંકળોનો ઉપયોગ કરનારા કેટલાક વાસ્તવિક હુમલાઓની સમયરેખાનો સમાવેશ થાય છે.
Bitdefender ના માર્ટિન ઝુગેકના જણાવ્યા અનુસાર, એક્સચેન્જ પાસે ફ્રન્ટએન્ડ અને બેકએન્ડ સેવાઓનું જટિલ નેટવર્ક તેમજ બેકવર્ડ સુસંગતતા માટે જૂના કોડ છે. ફ્રન્ટ-એન્ડ [ક્લાયન્ટ એક્સેસ સર્વિસિસ] લેયરમાંથી આવતી વિનંતીઓ બેકએન્ડ સેવાઓ દ્વારા વિશ્વસનીય છે.
અસંખ્ય બેકએન્ડ સેવાઓ એક્સચેન્જ સર્વર દ્વારા જ ચલાવવામાં આવે છે, જે સિસ્ટમ વિશેષાધિકારો ધરાવે છે, જે બીજું કારણ છે. વધુમાં, શોષણ હુમલાખોરને રિમોટ પાવરશેલ સેવાની અનધિકૃત ઍક્સેસ આપી શકે છે, જે અસરકારક રીતે દૂષિત આદેશોના અમલ માટે દરવાજા ખોલી શકે છે.
તે હેતુ માટે, ProxyNotShell અને OWASSRF નબળાઈઓનો ઉપયોગ કરીને હુમલાઓએ ઑસ્ટ્રિયન, કુવૈતી, પોલિશ, ટર્કિશ અને યુનાઈટેડ સ્ટેટ્સ સ્થિત કન્સલ્ટન્સી, કાનૂની, ઉત્પાદન, રિયલ એસ્ટેટ અને જથ્થાબંધ ક્ષેત્રોને નિશાન બનાવ્યા છે.
. ઈન્ફેક્શન કે જે વેબ શેલ્સ અને રિમોટ મોનિટરિંગ એન્ડ મેનેજમેન્ટ (RMM) ટૂલ્સ જેમ કે કનેક્ટવાઈસ કંટ્રોલ અને GoTo રિઝોલ્વની સ્થાપના કરવાનો હેતુ ધરાવે છે તે મોટાભાગના હુમલાઓની પરાકાષ્ઠા તરીકે ગણવામાં આવે છે, જેને ધ્યાન કેન્દ્રિત અને લક્ષ્યને બદલે તકવાદી તરીકે વર્ણવવામાં આવે છે.
વેબ શેલ્સ સાથે, ગુનેગારો વિવિધ વધારાના કાર્યો કરી શકે છે અને સતત રિમોટ એક્સેસ ટેકનિક પ્રદાન કરવા ઉપરાંત નફા માટે અન્ય હેકર જૂથોની ઍક્સેસને ફરીથી વેચી શકે છે.
શક્ય છે કે હુમલાના વ્યાપને વધારવા માટે સમાન તકનીકનો ઉપયોગ કરવામાં આવ્યો હતો કારણ કે કેટલાક કિસ્સાઓમાં પેલોડ્સને હોસ્ટ કરવા માટે ઉપયોગમાં લેવાતા સ્ટેજીંગ સર્વર્સ પહેલાથી જ માઇક્રોસોફ્ટ એક્સચેન્જ સર્વરને ચેપગ્રસ્ત હતા.
પ્રતિસ્પર્ધીઓના કોબાલ્ટ સ્ટ્રાઈક ડાઉનલોડ કરવાના નિષ્ફળ પ્રયાસો અને કોડનેમ GoBackClient સાથે ગો-આધારિત ઇમ્પ્લાન્ટ કે જે સિસ્ટમની માહિતી મેળવી શકે છે અને રિવર્સ શેલ્સ પેદા કરી શકે છે તે પણ જોવામાં આવ્યા હતા.
ક્યુબાના વિકાસકર્તાઓ (કોલ્ડડ્રૉ તરીકે પણ ઓળખાય છે) રેન્સમવેર, UNC2596 (જેને ટ્રોપિકલ સ્કોર્પિયસ તરીકે પણ ઓળખવામાં આવે છે), માઇક્રોસોફ્ટ એક્સચેન્જની નબળાઈઓનો દુરુપયોગ કરવાનો ઇતિહાસ ધરાવે છે. એક હુમલામાં, BUGHATCH ડાઉનલોડર ProxyNotShell શોષણ ક્રમનો ઉપયોગ કરીને છોડી દેવામાં આવ્યું હતું.
તેમ છતાં મૂળ ચેપ વેક્ટર સતત બદલાતો રહે છે અને જોખમી કલાકારો દરેક નવી તકનો લાભ લેવા આતુર છે, ઝુગેકે કહ્યું કે તેમની શોષણ પછીની પ્રવૃત્તિઓ જાણીતી છે. સમકાલીન સાયબર હુમલાઓ સામે સંરક્ષણમાં ઊંડાણપૂર્વકનું આર્કિટેક્ચર શ્રેષ્ઠ સંરક્ષણ છે.