Obsah
- Zneužití ProxyLogon a ProxyShell
- Tato hrozba se týká uživatelů serverů Microsoft Exchange Server verzí 2010, 2013, 2016 a 2019
- Hafnium
- Váš bezpečnostní produkt ESET detekuje následující hrozbu:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Instalace bezpečnostní záplaty společnosti Microsoft
- Mějte zapnutý ESET LiveGrid
- Minimalizace rizika napadení malwarem
- Příspěvek na blogu WeLiveSecurity
Řešení
Zneužití ProxyLogon a ProxyShell
ProxyLogon i ProxyShell byly zaznamenány a používány různými zločineckými skupinami, jako je Hanium nebo ransomware BlackByte. Oba byly také použity k provedení kompromitace firemních e-mailů (BEC) k odesílání škodlivých e-mailů z napadených serverů Exchange.
Software ESET sice dokáže tento útok detekovat, ale aby se zabránilo riziku zneužití, měly by být na všechny exchange servery aplikovány záplaty pro ProxyLogon i ProxyShell.
Využití služby ProxyLogon:
Využití prostředí ProxyShell:
Bezpečnostní záplata společnosti Microsoft
Po zneužití zranitelností k získání počátečního přístupu provozovatelé (například HAFNIUM) nasadí na napadený server webové shelly. Webové shelly mohou útočníkům umožnit krádež dat a provádění dalších škodlivých akcí, které vedou k dalšímu ohrožení. Další technické informace a podrobnosti o útoku na HAFNIUM.
Detekce webových shellů a zadních vrátek použitých v tomto řetězci útoků vypadá následovně:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Zranitelnosti vzdáleného spuštění kódu serveru Microsoft Exchange jsou:
- CVE-2021-26855 (nejčastější)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Více informací o Zranitelnosti Microsoft Exchange objevené a zneužívané in-the-wild. ESET důrazně doporučuje okamžitou instalaci bezpečnostní aktualizace společnosti Microsoft.
Pro zajištění nejvyšší úrovně zabezpečení doporučujeme mít vždy nejnovější verzi produktu ESET: Zkontrolujte si nejnovější verzi svých firemních produktů ESET
Mějte zapnutý ESET LiveGrid
V některých případech může váš produkt ESET se zapnutou funkcí ESET LiveGrid reagovat na nové hrozby rychleji než aktualizace modulů.
Zjistěte více o ESET LiveGrid a ujistěte se, že je ve vašem produktu ESET povolen.
Minimalizace rizika napadení malwarem
Co mohu udělat pro minimalizaci rizika útoku malwaru?
- Zálohování důležitých dat
- Neměňte výchozí nastavení
- Stažení bezpečnostních záplat
Příspěvek na blogu WeLiveSecurity
Chcete-li se dozvědět více informací o tom, jak můžete svůj systém před tímto zneužitím ochránit, doporučujeme vám přečíst si následující příspěvek na blogu společnosti ESET:
- Microsoft urychleně vydává opravy čtyř chyb nultého dne v serveru Exchange Server
- Servery Exchange v obležení nejméně 10 skupin APT
Seznam všech bezpečnostních článků společnosti ESET týkajících se útoků typu zero-day naleznete na stránce Útoky typu zero-day.
