[KB7855] Apakah ESET melindungi saya dari eksploitasi ProxyLogon dan ProxyShell?

Masalah

• Eksploitasi ProxyLogon dan ProxyShell
• Ancaman ini memengaruhi pengguna Microsoft Exchange Server versi 2010, 2013, 2016, dan 2019
• Hafnium
• Produk keamanan ESET Anda mendeteksi ancaman berikut ini
  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg
• Instal patch keamanan Microsoft
• Tetap aktifkan ESET LiveGrid
• Meminimalkan risiko serangan malware
• Posting blog WeLiveSecurity

Solusi

Eksploitasi ProxyLogon dan ProxyShell

Baik ProxyLogon maupun ProxyShell telah terlihat dan digunakan oleh kelompok kriminal yang berbeda seperti ransomware Hanium atau BlackByte. Keduanya juga digunakan untuk melakukan Business Email Compromises (BEC) untuk mengirim email berbahaya dari server pertukaran yang disusupi.

Meskipun perangkat lunak ESET dapat mendeteksi serangan ini, patch untuk ProxyLogon dan ProxyShell harus diterapkan pada semua server pertukaran untuk mencegah risiko eksploitasi.

Eksploitasi ProxyLogon:

• CVE-2021-26855

Eksploitasi ProxyShell:

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207

Tambalan keamanan Microsoft

Setelah mengeksploitasi kerentanan untuk mendapatkan akses awal, operator (misalnya, HAFNIUM) menggunakan web shell pada server yang disusupi. Shell web berpotensi memungkinkan penyerang untuk mencuri data dan melakukan tindakan jahat tambahan yang mengarah ke kompromi lebih lanjut. Lihat informasi teknis lebih lanjut dan detail serangan di HAFNIUM.

Deteksi untuk web shells dan backdoors yang digunakan dalam rantai serangan ini muncul sebagai:

• JS/Exploit.CVE-2021-26855.Webshell.A
• JS/Exploit.CVE-2021-26855.Webshell.B
• ASP/Webshell
• ASP/ReGeorg

Kerentanan eksekusi kode jarak jauh server Microsoft Exchange adalah:

• CVE-2021-26855 (yang paling umum)
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Baca lebih lanjut tentang Kerentanan Microsoft Exchange yang ditemukan dan dieksploitasi di alam liar. ESET sangat menyarankan untuk segera menginstal pembaruan keamanan Microsoft.

Untuk memastikan tingkat keamanan tertinggi, kami sarankan agar Anda selalu menggunakan versi terbaru produk ESET Anda: Periksa versi terbaru produk bisnis ESET Anda

Tetap aktifkan ESET LiveGrid

Dalam beberapa kasus, produk ESET Anda yang mengaktifkan ESET LiveGrid dapat merespons ancaman baru dengan lebih cepat daripada pembaruan modul.

Pelajari lebih lanjut tentang ESET LiveGrid dan pastikan itu diaktifkan di produk ESET Anda.

Meminimalkan risiko serangan malware

Apa yang dapat saya lakukan untuk meminimalkan risiko serangan malware?

• Cadangkan data penting Anda
• Jangan mengubah pengaturan default
• Unduh patch keamanan

Posting blog WeLiveSecurity

Untuk mempelajari lebih lanjut tentang cara melindungi sistem Anda dari eksploitasi ini, kami sarankan Anda membaca postingan blog ESET berikut ini:

• Microsoft bergegas mengeluarkan perbaikan untuk empat kelemahan zero-day di Exchange Server
• Server Exchange yang dikepung oleh setidaknya 10 grup APT

Untuk melihat daftar semua artikel keamanan ESET yang terkait dengan serangan zero-day, lihat serangan zero-day.