Корпорація Майкрософт радить користувачам підтримувати свої сервери Exchange в актуальному стані, а також вживати запобіжних заходів, наприклад увімкнути розширений захист Windows і налаштувати підписання на основі сертифікатів корисних навантажень серіалізації PowerShell.
Команда Exchange Team гіганта програмного забезпечення заявила в дописі, що зловмисники, які намагаються атакувати невиправлені сервери Exchange, не зупиняться. Цінність невиправленої локальної інфраструктури Exchange для ворожих суб’єктів, які намагаються викрасти дані чи вчинити інші протиправні дії, надто велика.
Microsoft також зазначила, що випущені нею засоби пом’якшення є лише тимчасовим виправленням і можуть «стати недостатніми для захисту від усіх перестановок атаки», вимагаючи від користувачів встановлення необхідних оновлень безпеки, щоб захистити сервер.
Цього тижня випуск технічної консультації від Bitdefender містив опис Exchange як «ідеальної мішені», а також хронологію деяких фактичних атак, які використовували ланцюжки експлойтів ProxyNotShell / OWASSRF з кінця листопада 2022 року.
За словами Мартіна Зугека з Bitdefender, Exchange має складну мережу зовнішніх і внутрішніх служб, а також старий код для зворотної сумісності. Запити, що надходять із зовнішнього рівня [Client Access Services], є довіреними серверними службами.
Численні серверні служби запускаються самим сервером Exchange Server, який має привілеї SYSTEM, що є ще однією причиною. Крім того, експлойти можуть надати зловмиснику неавторизований доступ до віддаленої служби PowerShell, фактично відкриваючи двері для виконання зловмисних команд.
З цією метою атаки з використанням слабких місць ProxyNotShell і OWASSRF були спрямовані на консультаційні, юридичні, виробничі, нерухомі та оптові сектори Австрії, Кувейту, Польщі, Туреччини та США.
. Зараження, спрямовані на створення веб-оболонок і інструментів віддаленого моніторингу та керування (RMM), таких як ConnectWise Control і GoTo Resolve, вважаються кульмінацією більшості атак, які описуються як опортуністичні, а не цілеспрямовані та цілеспрямовані.
За допомогою веб-оболонок злочинці можуть виконувати низку додаткових завдань і навіть перепродавати доступ іншим групам хакерів для отримання прибутку на додаток до забезпечення постійної техніки віддаленого доступу.
Цілком можливо, що така ж техніка була застосована для збільшення обсягу атак, оскільки в деяких випадках проміжні сервери, які використовувалися для розміщення корисних даних, уже були інфікованими серверами Microsoft Exchange.
Також були помічені невдалі спроби супротивників завантажити Cobalt Strike і імплантат на основі Go з кодовою назвою GoBackClient, який може отримувати системну інформацію та генерувати зворотні оболонки.
Розробники програми-вимагача Cuba (також відомої як COLDDRAW) UNC2596 (також відомої як Tropical Scorpius) мають історію зловживання вразливими місцями Microsoft Exchange. Під час однієї атаки завантажувач BUGHATCH було видалено за допомогою послідовності експлойтів ProxyNotShell.
Незважаючи на те, що вихідний вектор зараження постійно змінюється, а суб’єкти загрози прагнуть скористатися кожним новим шансом, Зугек сказав, що їх діяльність після експлуатації добре відома. Архітектура поглибленого захисту є найкращим захистом від сучасних кібератак.
Українська 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
فارسی 
Français du Canada