Väljaanne
- ProxyLogon ja ProxyShell ekspluateerib
- See oht mõjutab Microsoft Exchange Serveri versioonide 2010, 2013, 2016 ja 2019 kasutajaid
- Hafnium
- Teie ESET turvatoode tuvastab järgmise ohu
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Paigaldage Microsofti turvaparandus
- Hoidke ESET LiveGrid sisse lülitatud
- Minimeerige pahavara rünnakuohtu
- WeLiveSecurity blogipostitus
Lahendus
ProxyLogon ja ProxyShell ekspluateerimine
Nii ProxyLogon kui ka ProxyShell on nähtud ja kasutatud erinevate kuritegelike rühmituste poolt, nagu Hanium või BlackByte ransomware. Mõlemaid kasutati ka ärisõnumikahjustuste (BEC) läbiviimiseks, et saata pahatahtlikke e-kirju ohustatud Exchange-serveritest.
Kuigi ESETi tarkvara suudab selle rünnaku tuvastada, tuleks nii ProxyLogon kui ka ProxyShell'i puhul rakendada parandusi kõigile Exchange'i serveritele, et vältida ärakasutamise ohtu.
ProxyLogon'i ärakasutamine:
ProxyShell'i rünne:
Microsofti turvaparandus
Pärast haavatavuste ärakasutamist esialgse juurdepääsu saamiseks kasutavad operaatorid (näiteks HAFNIUM) ohustatud serveris veebirakke. Veebikoored võimaldavad ründajatel potentsiaalselt varastada andmeid ja teha täiendavaid pahatahtlikke tegevusi, mis viivad edasise kompromissini. Vt rohkem tehnilist teavet ja rünnaku üksikasju HAFNIUMi kohta.
Selle ründeahela raames kasutatud veebikoorikute ja backdoors'ide tuvastamine ilmneb järgmiselt:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Microsoft Exchange'i serveri kaugkoodi täitmise haavatavused on järgmised:
- CVE-2021-26855 (kõige levinum)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Loe lähemalt Microsoft Exchangei. ESET soovitab tungivalt paigaldada Microsofti turvauuendus kohe.
Kõrgeima turvataseme tagamiseks soovitame teil alati kasutada oma ESETi toote uusimat versiooni: Check for the latest version of your ESET business products
Hoidke ESET LiveGrid sisse lülitatud
Mõnel juhul võib teie ESETi toode, mille ESET LiveGrid on sisse lülitatud, reageerida uutele ohtudele kiiremini kui moodulite uuendused.
#@##publication_url id='927' target='_blank' content='Lisateave ESET LiveGrid'i kohta ja veenduge, et see on teie ESETi tootes lubatud' focus=''#@#.
Minimeerige pahavara rünnakuohtu
Mida ma saan teha, et vähendada pahavara rünnaku riski?
- Tee varukoopia oma tähtsatest andmetest
- Ärge muutke vaikimisi seadeid
- Laadige alla turvaparandused
WeLiveSecurity blogipostitus
Kui soovite rohkem teada saada, kuidas saate oma süsteemi selle ärakasutamise eest kaitsta, soovitame lugeda järgmist ESETi blogipostitust:
- Microsoft kiirustab parandusi neljale nullpäevavigale Exchange Serveris
- Exchange'i servereid piiravad vähemalt 10 APT-gruppi
Kõigi nullpäevarünnakutega seotud ESETi turvaartiklite loetelu leiate aadressilt nullpäevarünnakud.
