Kysymys
- ProxyLogon- ja ProxyShell-hyökkäykset
- Tämä uhka vaikuttaa Microsoft Exchange Server -versioiden 2010, 2013, 2016 ja 2019 käyttäjiin
- Hafnium
- ESET-tietoturvatuotteesi havaitsee seuraavan uhan
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Asenna Microsoftin tietoturvakorjaus
- Pidä ESET LiveGrid käytössä
- Minimoi haittaohjelmahyökkäysten riski
- WeLiveSecurityn blogikirjoitus
Ratkaisu
ProxyLogon- ja ProxyShell-hyökkäykset
Sekä ProxyLogon- että ProxyShell-hyökkäyksiä ovat nähneet ja käyttäneet eri rikollisryhmät, kuten Hanium tai BlackByte ransomware. Molempia käytettiin myös Business Email Compromises (BEC) -hyökkäyksiin, joilla lähetettiin haitallista sähköpostia vaarantuneilta Exchange-palvelimilta.
ESET-ohjelmisto voi havaita tämän hyökkäyksen, mutta sekä ProxyLogon- että ProxyShell-korjaukset olisi asennettava kaikkiin Exchange-palvelimiin hyväksikäyttöriskin estämiseksi.
ProxyLogon-hyökkäys:
ProxyShell-hyökkäys:
Microsoftin tietoturvakorjaus
Kun operaattorit (esimerkiksi HAFNIUM) ovat käyttäneet haavoittuvuuksia hyväkseen saadakseen alustavan pääsyn, ne ottavat käyttöön verkkokuoret vaarantuneella palvelimella. Web-kuorien avulla hyökkääjät voivat mahdollisesti varastaa tietoja ja suorittaa muita haitallisia toimia, jotka johtavat edelleen vaarantumiseen. Katso lisätietoja teknisistä tiedoista ja hyökkäyksen yksityiskohdista HAFNIUMista.
Tässä hyökkäysketjussa käytettyjen verkkokuorien ja takaovien havaitseminen näyttää seuraavalta:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Microsoft Exchange -palvelimen etäkoodin suorittamisen haavoittuvuudet ovat:
Lue lisää aiheesta Microsoft Exchange -haavoittuvuuksia löydetty ja hyödynnetty luonnossa. ESET kehottaa asentamaan Microsoftin tietoturvapäivityksen välittömästi.
Varmistaaksesi parhaan mahdollisen tietoturvan suosittelemme, että käytät aina ESET-tuotteesi uusinta versiota: Tarkista uusin versio ESET-yritystuotteistasi
Pidä ESET LiveGrid käytössä
Joissakin tapauksissa ESET-tuotteesi, jossa ESET LiveGrid on käytössä, saattaa reagoida uusiin uhkiin nopeammin kuin moduulipäivitykset.
#@##publication_url id='927' target='_blank' content='Lue lisää ESET LiveGridistä ja varmista, että se on käytössä ESET-tuotteessasi' focus=''#@#.
Minimoi haittaohjelmahyökkäysten riski
Mitä voin tehdä minimoidakseni haittaohjelmahyökkäyksen riskin?
- Varmuuskopioi tärkeät tietosi
- Älä muuta oletusasetuksia
- Lataa tietoturvakorjaukset
WeLiveSecurityn blogikirjoitus
Jos haluat lisätietoja siitä, miten voit suojata järjestelmäsi tältä hyväksikäytöltä, suosittelemme lukemaan seuraavan ESETin blogikirjoituksen:
- Microsoft julkaisee kiireesti korjaukset neljään nollapäivän virheeseen Exchange Serverissä
- Ainakin 10 APT-ryhmää piirittää Exchange-palvelimia
Luettelo kaikista nollapäivähyökkäyksiin liittyvistä ESETin tietoturva-artikkeleista on osoitteessa nollapäivähyökkäykset.
