Microsoft उपयोगकर्ताओं को सलाह देता है कि वे अपने एक्सचेंज सर्वर को अद्यतित बनाए रखें और साथ ही विंडोज एक्सटेंडेड प्रोटेक्शन को चालू करने और पॉवरशेल सीरियलाइज़ेशन पेलोड के सर्टिफिकेट-आधारित हस्ताक्षर स्थापित करने जैसी सावधानियां बरतें।
सॉफ्टवेयर दिग्गज की एक्सचेंज टीम ने एक पोस्ट में कहा है कि बिना पैच किए एक्सचेंज सर्वर को लक्षित करने का प्रयास करने वाले हमलावर नहीं रुकेंगे। डेटा चोरी करने या अन्य गलत काम करने का प्रयास करने वाले शत्रुतापूर्ण अभिनेताओं के लिए ऑन-प्रिमाइसेस एक्सचेंज इन्फ्रास्ट्रक्चर का मूल्य बहुत अधिक है।
Microsoft ने यह भी नोट किया कि इसके द्वारा जारी किए गए शमन केवल एक अस्थायी सुधार हैं और "हमले के सभी क्रमपरिवर्तनों से बचाव के लिए अपर्याप्त हो सकते हैं", जिसके लिए उपयोगकर्ताओं को सर्वर को सुरक्षित करने के लिए आवश्यक सुरक्षा उन्नयन स्थापित करने की आवश्यकता होती है।
इस हफ्ते बिटडेफेंडर की एक तकनीकी सलाह जारी की गई जिसमें एक्सचेंज के विवरण को "सही लक्ष्य" के साथ-साथ नवंबर 2022 के अंत से ProxyNotShell / OWASSRF शोषण श्रृंखलाओं का उपयोग करने वाले कुछ वास्तविक हमलों की समयरेखा शामिल थी।
Bitdefender के मार्टिन ज़ुगेक के अनुसार एक्सचेंज के पास फ्रंटएंड और बैकएंड सेवाओं का एक जटिल नेटवर्क है, साथ ही बैकवर्ड कम्पैटिबिलिटी के लिए पुराना कोड भी है। फ्रंट-एंड [क्लाइंट एक्सेस सर्विसेज] परत से आने वाले अनुरोधों पर बैकएंड सेवाओं द्वारा भरोसा किया जाता है।
कई बैकएंड सेवाएं एक्सचेंज सर्वर द्वारा ही चलाई जाती हैं, जिसमें सिस्टम विशेषाधिकार हैं, जो एक और कारण है। इसके अतिरिक्त, शोषण हमलावर को दूरस्थ पॉवरशेल सेवा तक अनधिकृत पहुँच प्रदान कर सकता है, प्रभावी रूप से दुर्भावनापूर्ण आदेशों के निष्पादन के लिए द्वार खोल सकता है।
उस उद्देश्य के लिए, ProxyNotShell और OWASSRF कमजोरियों का उपयोग करने वाले हमलों ने ऑस्ट्रियाई, कुवैती, पोलिश, तुर्की और संयुक्त राज्य अमेरिका स्थित परामर्श, कानूनी, विनिर्माण, रियल एस्टेट और थोक क्षेत्रों को लक्षित किया है।
. संक्रमण जो वेब शेल और रिमोट मॉनिटरिंग एंड मैनेजमेंट (RMM) टूल जैसे ConnectWise Control और GoTo Resolve को स्थापित करने का लक्ष्य रखता है, को अधिकांश हमलों की परिणति माना जाता है, जिन्हें केंद्रित और लक्षित होने के बजाय अवसरवादी बताया जाता है।
वेब शेल के साथ, अपराधी कई तरह के अतिरिक्त कार्य कर सकते हैं और यहां तक कि लगातार रिमोट एक्सेस तकनीक प्रदान करने के अलावा लाभ के लिए अन्य हैकर समूहों तक पहुंच को फिर से बेच सकते हैं।
यह संभव है कि हमलों के दायरे को बढ़ाने के लिए एक ही तकनीक का इस्तेमाल किया गया था क्योंकि कुछ उदाहरणों में पेलोड को होस्ट करने के लिए उपयोग किए जाने वाले स्टेजिंग सर्वर पहले से ही माइक्रोसॉफ्ट एक्सचेंज सर्वर से संक्रमित थे।
शत्रुओं के कोबाल्ट स्ट्राइक डाउनलोड करने के असफल प्रयास और कोडनेम GoBackClient के साथ एक गो-आधारित इम्प्लांट जो सिस्टम की जानकारी प्राप्त कर सकता है और रिवर्स शेल उत्पन्न कर सकता है, को भी देखा गया।
क्यूबा के डेवलपर्स (जिसे COLDDRAW के रूप में भी जाना जाता है) रैंसमवेयर, UNC2596 (जिसे ट्रॉपिकल स्कॉर्पियस के रूप में भी जाना जाता है), का माइक्रोसॉफ्ट एक्सचेंज की कमजोरियों का दुरुपयोग करने का इतिहास रहा है। एक हमले में, BUGHATCH डाउनलोडर को ProxyNotShell शोषण क्रम का उपयोग करके हटा दिया गया था।
हालांकि मूल संक्रमण वेक्टर लगातार बदल रहा है और खतरे के कारक हर नए अवसर का लाभ उठाने के लिए उत्सुक हैं, ज़ुगेक ने कहा कि उनके शोषण के बाद की गतिविधियों को अच्छी तरह से जाना जाता है। समकालीन साइबर हमलों के खिलाफ एक रक्षा-गहन वास्तुकला सबसे अच्छा बचाव है।