Bitdefender попереджає про чергову хвилю атак на Microsoft Exchange

Фахівці Bitdefender попереджають про нову хвилю атак на Microsoft Exchange з використанням відомих уразливостей.

 

Дослідники почали помічати збільшення кількості атак з використанням експлойтів ProxyNotShell/OWASSRF для локальних розгортань Microsoft Exchange наприкінці листопада. Атаки типу Server-Side Request Forgery дозволяють зловмиснику відправити підроблений запит з вразливого сервера на другий сервер, що дозволяє зловмиснику отримати доступ до ресурсів і виконати дії на вразливому сервері.

 

SSRF-атаки є одними з найпопулярніших і найчастіше використовуваних вразливостей не без причини. Наприклад, якщо веб-додаток вразливий до SSRF, зловмисник може надіслати запит з компрометованого сервера на ресурс локальної мережі, який зазвичай недоступний для зловмисника. Крім того, можна надіслати запит на зовнішній сервер, наприклад, хмарний сервіс, щоб виконати дії від імені вразливого сервера.

 

Нова хвиля атак на Microsoft Exchange використовує різні методи для формування ланцюжків експлойтів, які призводять до віддаленого виконання коду. Exchange є особливо вразливою до вибору експлойтів через свою складну мережу зовнішніх та внутрішніх служб, що містять застарілий код для забезпечення зворотної сумісності.

 

Back-end-служби Exchange також довіряють запитам від зовнішнього рівня контейнерного сховища. У випадку атаки SSRF, дійсний токен Kerberos генерується CAS. Exchange також є вразливим через численні внутрішні служби, що працюють як сам Exchange Server, обліковий запис SYSTEM, а також через використання віддаленого PowerShell і сотень команд до нього. До всього цього додається мікст з відомих уразливостей, що охоплює ProxyLogon, ProxyShell, ProcyNotShell і OWASSRF.

 

Дослідники спостерігали атаки на сервери Microsoft Exchange у США, деяких країнах Європи та Близького Сходу в таких галузях, як нерухомість, юриспруденція, виробництво, консалтинг, оптова торгівля.

 

Користувачам Microsoft Exchange рекомендується зменшити кількість атак, зосередившись на управлінні виправленнями та виявленні неправильних конфігурацій. Організації також повинні впровадити засоби контролю безпеки, які охоплюють кілька рівнів захисту, включаючи репутацію IP/URL для всіх кінцевих точок і захист від безфайлових атак.

 

«Сучасні зловмисники часто витрачають тижні або місяці на активну розвідку в мережах, генеруючи попередження і покладаючись на відсутність можливостей виявлення і реагування", - підсумовують дослідники. - Найкращий захист від сучасних кібератак - це архітектура глибокого захисту».