A Microsoft azt tanácsolja a felhasználóknak, hogy tartsák naprakészen Exchange-kiszolgálóikat, és tegyenek óvintézkedéseket, például kapcsolják be a Windows Extended Protection-t, és állítsák be a PowerShell-szerializációs rakományok tanúsítványalapú aláírását.
A szoftveróriás Exchange csapata egy bejegyzésben kijelentette, hogy a javítatlan Exchange-kiszolgálókat megkísérlő támadók nem fognak megállni. A kijavítatlan helyszíni Exchange-infrastruktúra értéke túl nagy az adatok ellopását vagy más jogsértést elkövető ellenséges szereplők számára.
A Microsoft azt is megjegyezte, hogy az általa kiadott mérséklések csak ideiglenes javítások, és „elégtelenné válhatnak a támadások minden permutációjával szemben”, ezért a felhasználóknak telepíteniük kell a szükséges biztonsági frissítéseket a kiszolgáló biztonsága érdekében.
A Bitdefender e heti kiadott technikai tanácsa tartalmazta az Exchange „tökéletes célpontként” leírását, valamint néhány olyan tényleges támadás ütemtervét, amelyek 2022. november végétől a ProxyNotShell / OWASSRF kihasználó láncokat használták.
Martin Zugec, a Bitdefender szerint az Exchange bonyolult előtér- és háttérszolgáltatás-hálózattal rendelkezik, valamint régi kóddal rendelkezik a visszafelé kompatibilitás érdekében. A front-end [Client Access Services] rétegből érkező kéréseket a háttérszolgáltatások megbízhatóak.
Számos háttérszolgáltatást maga az Exchange Server futtat, amely RENDSZER jogosultságokkal rendelkezik, ami egy másik ok. Ezenkívül a kizsákmányolások jogosulatlan hozzáférést biztosíthatnak a támadónak a távoli PowerShell-szolgáltatáshoz, hatékonyan megnyitva az ajtót a rosszindulatú parancsok végrehajtása előtt.
Ebből a célból a ProxyNotShell és az OWASSRF gyengeségeit kihasználó támadások az osztrák, kuvaiti, lengyel, török és egyesült államokbeli tanácsadási, jogi, gyártási, ingatlan- és nagykereskedelmi szektort célozták meg.
. A fertőzések, amelyek webhéjak és távoli megfigyelési és felügyeleti (RMM) eszközök létrehozását célozzák, mint például a ConnectWise Control és a GoTo Resolve, a legtöbb támadás betetőzésének tekinthetők, amelyeket inkább opportunisztikusnak, semmint fókuszáltnak és célzottnak neveznek.
A webhéjakkal a bűnözők számos további feladatot végezhetnek el, sőt, a tartós távoli elérési technikán túl más hackercsoportoknak is eladhatják a hozzáférést haszonszerzés céljából.
Lehetséges, hogy ugyanezt a technikát alkalmazták a támadások hatókörének növelésére, mert egyes esetekben a rakományok tárolására használt állomásozószerverek már fertőzött Microsoft Exchange szerverek voltak.
Az ellenfelek sikertelen kísérletei a Cobalt Strike és egy Go-alapú, GoBackClient kódnevű implantátum letöltésére is, amelyek rendszerinformációkat szerezhetnek be és fordított héjakat generálnak.
A Cuba (COLDDRAW néven is ismert) zsarolóvírus, az UNC2596 (más néven Tropical Scorpius) fejlesztői korábban visszaéltek a Microsoft Exchange sebezhetőségeivel. Az egyik támadás során a BUGHATCH letöltőt a ProxyNotShell kizsákmányoló szekvencia segítségével dobták el.
Bár az eredeti fertőzési vektor folyamatosan változik, és a fenyegetés szereplői szívesen kihasználnak minden új lehetőséget, Zugec szerint a kizsákmányolás utáni tevékenységük jól ismert. A mélyreható védelmi architektúra a legjobb védekezés a kortárs kibertámadások ellen.
Magyar 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada