Microsoft рекомендует пользователям поддерживать свои серверы Exchange в актуальном состоянии, а также принимать меры предосторожности, такие как включение расширенной защиты Windows и настройка подписи на основе сертификатов полезных нагрузок сериализации PowerShell.
Команда Exchange Team софтверного гиганта заявила в сообщении, что злоумышленники, пытающиеся атаковать непропатченные серверы Exchange, не остановятся. Ценность неисправленной локальной инфраструктуры Exchange для враждебных субъектов, пытающихся украсть данные или совершить другие правонарушения, слишком велика.
Microsoft также отметила, что выпущенные ею меры по смягчению последствий являются лишь временным исправлением и могут «стать недостаточными для защиты от всех вариантов атаки», требуя от пользователей установки необходимых обновлений безопасности для защиты сервера.
Выпущенный на этой неделе технический совет от Bitdefender включал описание Exchange как «идеальной цели», а также временную шкалу некоторых реальных атак с использованием цепочек эксплойтов ProxyNotShell / OWASSRF с конца ноября 2022 года.
По словам Мартина Цугека из Bitdefender, Exchange имеет сложную сеть внешних и внутренних служб, а также старый код для обеспечения обратной совместимости. Запросы, поступающие с внешнего уровня [Службы клиентского доступа], доверяются внутренним службам.
Многие серверные службы запускаются самим сервером Exchange, который имеет системные привилегии, что является еще одной причиной. Кроме того, эксплойты могут предоставить злоумышленнику несанкционированный доступ к удаленной службе PowerShell, фактически открывая дверь для выполнения вредоносных команд.
С этой целью атаки с использованием уязвимостей ProxyNotShell и OWASSRF были направлены на австрийские, кувейтские, польские, турецкие и американские консалтинговые, юридические, производственные, риелторские и оптовые секторы.
. Инфекции, направленные на установку веб-оболочек и инструментов удаленного мониторинга и управления (RMM), таких как ConnectWise Control и GoTo Resolve, считаются кульминацией большинства атак, которые описываются как оппортунистические, а не целенаправленные и целенаправленные.
С помощью веб-оболочек преступники могут выполнять множество дополнительных задач и даже перепродавать доступ другим хакерским группам с целью получения прибыли в дополнение к предоставлению постоянного метода удаленного доступа.
Возможно, тот же метод использовался для увеличения масштабов атак, поскольку в некоторых случаях промежуточные серверы, используемые для размещения полезной нагрузки, уже были заражены серверами Microsoft Exchange.
Также были замечены безуспешные попытки злоумышленников загрузить Cobalt Strike и имплантат на основе Go с кодовым названием GoBackClient, который может получать системную информацию и генерировать обратные оболочки.
Разработчики программы-вымогателя Cuba (также известной как COLDDRAW) UNC2596 (также известной как Tropical Scorpius) имеют опыт использования уязвимостей Microsoft Exchange. В одной из атак загрузчик BUGHATCH был удален с помощью последовательности эксплойта ProxyNotShell.
Хотя первоначальный вектор заражения постоянно меняется, а злоумышленники стремятся воспользоваться каждым новым шансом, Цугек сказал, что их действия после эксплуатации хорошо известны. Архитектура глубокоэшелонированной защиты — лучшая защита от современных кибератак.
Русский 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada