A Microsoft azt tanácsolja a felhasználóknak, hogy tartsák naprakészen Exchange-kiszolgálóikat, és tegyenek óvintézkedéseket, például kapcsolják be a Windows Extended Protection-t, és állítsák be a PowerShell-szerializációs rakományok tanúsítványalapú aláírását.
A szoftveróriás Exchange csapata egy bejegyzésben kijelentette, hogy a javítatlan Exchange-kiszolgálókat megkísérlő támadók nem fognak megállni. A kijavítatlan helyszíni Exchange-infrastruktúra értéke túl nagy az adatok ellopását vagy más jogsértést elkövető ellenséges szereplők számára.
A Microsoft azt is megjegyezte, hogy az általa kiadott mérséklések csak ideiglenes javítások, és „elégtelenné válhatnak a támadások minden permutációjával szemben”, ezért a felhasználóknak telepíteniük kell a szükséges biztonsági frissítéseket a kiszolgáló biztonsága érdekében.
A Bitdefender e heti kiadott technikai tanácsa tartalmazta az Exchange „tökéletes célpontként” leírását, valamint néhány olyan tényleges támadás ütemtervét, amelyek 2022. november végétől a ProxyNotShell / OWASSRF kihasználó láncokat használták.
Martin Zugec, a Bitdefender szerint az Exchange bonyolult előtér- és háttérszolgáltatás-hálózattal rendelkezik, valamint régi kóddal rendelkezik a visszafelé kompatibilitás érdekében. A front-end [Client Access Services] rétegből érkező kéréseket a háttérszolgáltatások megbízhatóak.
Számos háttérszolgáltatást maga az Exchange Server futtat, amely RENDSZER jogosultságokkal rendelkezik, ami egy másik ok. Ezenkívül a kizsákmányolások jogosulatlan hozzáférést biztosíthatnak a támadónak a távoli PowerShell-szolgáltatáshoz, hatékonyan megnyitva az ajtót a rosszindulatú parancsok végrehajtása előtt.
Ebből a célból a ProxyNotShell és az OWASSRF gyengeségeit kihasználó támadások az osztrák, kuvaiti, lengyel, török és egyesült államokbeli tanácsadási, jogi, gyártási, ingatlan- és nagykereskedelmi szektort célozták meg.
. A fertőzések, amelyek webhéjak és távoli megfigyelési és felügyeleti (RMM) eszközök létrehozását célozzák, mint például a ConnectWise Control és a GoTo Resolve, a legtöbb támadás betetőzésének tekinthetők, amelyeket inkább opportunisztikusnak, semmint fókuszáltnak és célzottnak neveznek.
A webhéjakkal a bűnözők számos további feladatot végezhetnek el, sőt, a tartós távoli elérési technikán túl más hackercsoportoknak is eladhatják a hozzáférést haszonszerzés céljából.
Lehetséges, hogy ugyanezt a technikát alkalmazták a támadások hatókörének növelésére, mert egyes esetekben a rakományok tárolására használt állomásozószerverek már fertőzött Microsoft Exchange szerverek voltak.
Az ellenfelek sikertelen kísérletei a Cobalt Strike és egy Go-alapú, GoBackClient kódnevű implantátum letöltésére is, amelyek rendszerinformációkat szerezhetnek be és fordított héjakat generálnak.
A Cuba (COLDDRAW néven is ismert) zsarolóvírus, az UNC2596 (más néven Tropical Scorpius) fejlesztői korábban visszaéltek a Microsoft Exchange sebezhetőségeivel. Az egyik támadás során a BUGHATCH letöltőt a ProxyNotShell kizsákmányoló szekvencia segítségével dobták el.
Bár az eredeti fertőzési vektor folyamatosan változik, és a fenyegetés szereplői szívesen kihasználnak minden új lehetőséget, Zugec szerint a kizsákmányolás utáni tevékenységük jól ismert. A mélyreható védelmi architektúra a legjobb védekezés a kortárs kibertámadások ellen.