Microsoft menyarankan pengguna untuk memperbarui server Exchange mereka serta melakukan tindakan pencegahan seperti mengaktifkan Windows Extended Protection dan menyiapkan penandatanganan muatan serialisasi PowerShell berbasis sertifikat.
Tim Exchange raksasa perangkat lunak menyatakan dalam sebuah posting bahwa penyerang yang mencoba menargetkan server Exchange yang belum ditambal tidak akan berhenti. Nilai infrastruktur Exchange lokal yang belum ditambal untuk aktor bermusuhan yang mencoba mencuri data atau melakukan kesalahan lainnya terlalu besar.
Microsoft juga mencatat bahwa mitigasi yang telah dirilisnya hanyalah perbaikan sementara dan mungkin "menjadi tidak cukup untuk melindungi dari semua permutasi serangan", yang mengharuskan pengguna untuk menginstal pemutakhiran keamanan yang diperlukan untuk mengamankan server.
Rilis penasihat teknis Bitdefender minggu ini menyertakan deskripsi Exchange sebagai "target sempurna" serta garis waktu dari beberapa serangan aktual yang telah menggunakan rantai eksploitasi ProxyNotShell / OWASSRF dari akhir November 2022.
Exchange memiliki jaringan layanan frontend dan backend yang rumit, serta kode lama untuk kompatibilitas mundur, menurut Martin Zugec dari Bitdefender. Permintaan yang datang dari lapisan front-end [Layanan Akses Klien] dipercaya oleh layanan backend.
Banyak layanan backend dijalankan oleh Exchange Server itu sendiri, yang memiliki hak istimewa SISTEM, yang merupakan alasan lainnya. Selain itu, eksploit dapat memberi penyerang akses tidak sah ke layanan PowerShell jarak jauh, yang secara efektif membuka pintu untuk menjalankan perintah berbahaya.
Untuk tujuan itu, serangan yang memanfaatkan kelemahan ProxyNotShell dan OWASSRF telah menargetkan sektor konsultasi, hukum, manufaktur, real estat, dan grosir yang berbasis di Austria, Kuwait, Polandia, Turki, dan Amerika Serikat.
. Infeksi yang bertujuan untuk membuat shell web dan alat pemantauan dan manajemen jarak jauh (RMM) seperti ConnectWise Control dan GoTo Resolve dianggap sebagai puncak dari sebagian besar serangan, yang digambarkan sebagai oportunistik daripada terfokus dan ditargetkan.
Dengan cangkang web, penjahat dapat melakukan berbagai tugas tambahan dan bahkan menjual kembali akses ke grup peretas lain untuk mendapatkan keuntungan selain menyediakan teknik akses jarak jauh yang gigih.
Ada kemungkinan bahwa teknik yang sama digunakan untuk meningkatkan cakupan serangan karena dalam beberapa kasus server pementasan yang digunakan untuk menghosting muatan sudah menginfeksi server Microsoft Exchange.
Upaya musuh yang gagal untuk mengunduh Cobalt Strike dan implan berbasis Go dengan nama kode GoBackClient yang dapat memperoleh informasi sistem dan menghasilkan cangkang terbalik juga terlihat.
Pengembang ransomware Kuba (juga dikenal sebagai COLDDRAW), UNC2596 (juga dikenal sebagai Tropical Scorpius), memiliki riwayat menyalahgunakan kerentanan Microsoft Exchange. Dalam satu serangan, pengunduh BUGHATCH dijatuhkan menggunakan urutan eksploitasi ProxyNotShell.
Meskipun vektor infeksi asli terus berubah dan pelaku ancaman sangat ingin memanfaatkan setiap peluang baru, Zugec mengatakan bahwa aktivitas pasca-eksploitasi mereka sudah diketahui dengan baik. Arsitektur pertahanan yang mendalam adalah pertahanan terbaik melawan serangan siber kontemporer.