- 13,858
- 20
- 8 Ноя 2022
Специалисты из Редмонда рекомендуют тщательно следить за версией программного обеспечения почтового сервера.
Корпорация Microsoft призывает клиентов постоянно обновлять свои серверы Для просмотра ссылки Войди
Корпорация также подчеркнула, что предлагаемые меры по смягчению последствий являются лишь временным решением и что их может «оказаться недостаточно для защиты от всех вариантов атак». Разумеется, чтобы избежать большинства угроз, пользователям нужно своевременно устанавливать все обновления безопасности Exchange.
Атаки на Exchange очень доступны из-за ряда недостатков в безопасности программного обеспечения. Только за последние два года в Exchange Server было обнаружено несколько уязвимостей, в том числе ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell и обходной путь ProxyNotShell, известный как OWASSRF. Некоторые из этих уязвимостей широко используются в дикой природе (ITW).
Антивирусная компания Для просмотра ссылки Войди
Архитектура протокола клиентского доступа Exchange «В Exchange существует сложная сеть интерфейсных и серверных служб с устаревшим кодом для обеспечения обратной совместимости», — отметил Мартин Цугек из Bitdefender.
Также стоит отметить, что некоторые внутренние службы работают от имени самого Exchange Server, который обладает системными привилегиями. Эксплойты могут предоставить злоумышленнику несанкционированный доступ к удаленной службе PowerShell, эффективно прокладывая путь для выполнения вредоносных команд.
Атаки, использующие недостатки ProxyNotShell и OWASSRF, по сообщению Bitdefender, были нацелены на художественные, развлекательные, консалтинговые, юридические, производственные, риэлторские и оптовые предприятия, расположенные в Австрии, Кувейте, Польше, Турции и США.
«Эти типы атак с подделкой запросов на стороне сервера (SSRF) позволяют злоумышленнику отправлять обработанный запрос с уязвимого сервера на другие. Это открывает доступ к ресурсам или информации, которые в ином случае недоступны напрямую», — сообщается специалистами Bitdefender.
Считается, что большинство атак носят оппортунистический, а не целенаправленный характер. Кульминацией являются попытки развертывания веб-оболочек, а также программного обеспечения удаленного мониторинга и управления (RMM), таких как ConnectWise Control и GoTo Resolve.
Веб-оболочки не только предлагают механизм постоянного удаленного доступа, но также позволяют преступным организациям осуществлять широкий спектр последующих действий и даже продавать доступ другим группам хакеров с целью получения прибыли.
В некоторых случаях промежуточные серверы, используемые для размещения полезных нагрузок, уже были скомпрометированы самими серверами Microsoft Exchange, что позволяет предположить, что тот же метод мог быть применен для расширения масштабов атак.
Также были отмечены безуспешные попытки злоумышленников загрузить Cobalt Strike, а также имплант на базе Go под кодовым названием GoBackClient, который поставляется с возможностями сбора системной информации и создания обратных оболочек.
Злоупотребление уязвимостями Microsoft Exchange также было повторяющейся тактикой, используемой UNC2596 (он же Tropical Scorpius), вымогателями-операторами Cuba (он же COLDDRAW). Одна атака использовала последовательность эксплойтов ProxyNotShell для удаления загрузчика BUGHATCH.
«Хотя первоначальный вектор заражения продолжает развиваться, а злоумышленники быстро используют любую новую возможность, их действия после эксплуатации предсказуемы. Наилучшая защита от современных кибератак — это архитектура, основанная на глубокой защите», — сказал Цугек.
- Источник новости
- www.securitylab.ru
