Kiadvány
- ProxyLogon és ProxyShell kihasználások
- Ez a fenyegetés a Microsoft Exchange Server 2010-es, 2013-as, 2016-os és 2019-es verziójának felhasználóit érinti
- Hafnium
- Az ESET biztonsági terméke a következő fenyegetést észleli:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Telepítse a Microsoft biztonsági javítást
- Tartsa engedélyezve az ESET LiveGridet
- A malware-támadás kockázatának minimalizálása
- WeLiveSecurity blogbejegyzés
Megoldás
ProxyLogon és ProxyShell kihasználások
Mind a ProxyLogon, mind a ProxyShell különböző bűnözői csoportok, mint például a Hanium vagy a BlackByte ransomware, látták és használták. Mindkettőt arra is használták, hogy üzleti e-mail-csalásokat (BEC) hajtsanak végre, hogy rosszindulatú e-maileket küldjenek a veszélyeztetett Exchange-kiszolgálókról.
Bár az ESET szoftver képes észlelni ezt a támadást, a ProxyLogon és a ProxyShell javítófoltjait az összes Exchange-kiszolgálóra alkalmazni kell a kihasználás kockázatának megelőzése érdekében.
ProxyLogon exploit:
ProxyShell exploit:
Microsoft biztonsági javítás
Miután a sebezhetőségek kihasználása után a kezdeti hozzáférés megszerzéséhez az üzemeltetők (például a HAFNIUM) webes kagylókat telepítenek a veszélyeztetett szerverre. A webes burkolatok potenciálisan lehetővé teszik a támadók számára, hogy adatokat lopjanak és további rosszindulatú műveleteket hajtsanak végre, amelyek további veszélyeztetéshez vezetnek. További műszaki információk és támadási részletek a HAFNIUM-on.
A támadási láncban használt webes burkolatok és hátsó ajtók észlelése a következő:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
A Microsoft Exchange kiszolgáló távoli kódfuttatási sebezhetőségei a következők:
- CVE-2021-26855 (a leggyakoribb)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
További információ a Microsoft Exchange sebezhetőségekről:. Az ESET nyomatékosan javasolja a Microsoft biztonsági frissítésének azonnali telepítését.
A legmagasabb szintű biztonság érdekében javasoljuk, hogy mindig az ESET termék legújabb verzióját használja: Az ESET üzleti termékek legújabb verziójának ellenőrzése
Tartsa engedélyezve az ESET LiveGridet
Bizonyos esetekben az ESET termék az ESET LiveGrid engedélyezésével gyorsabban reagálhat az új fenyegetésekre, mint a modulok frissítései.
A malware-támadás kockázatának minimalizálása
Mit tehetek, hogy minimalizáljam a rosszindulatú szoftverek támadásának kockázatát?
- Biztonsági mentés a fontos adatokról
- Ne módosítsa az alapértelmezett beállításokat
- Biztonsági javítások letöltése
WeLiveSecurity blogbejegyzés
Ha többet szeretne megtudni arról, hogyan védheti meg a rendszerét ettől az exploittól, javasoljuk, hogy olvassa el az alábbi ESET blogbejegyzést:
- A Microsoft sietve javítja az Exchange Server négy nulladik napi hibáját
- Legalább 10 APT-csoport ostromolja az Exchange-kiszolgálókat
A nulladik napi támadásokkal kapcsolatos összes ESET biztonsági cikk listáját lásd a nulladik napi támadásokoldalon.
