問題
- ProxyLogonおよびProxyShellの悪用
- この脅威は、Microsoft Exchange Server バージョン 2010、2013、2016、2019 のユーザーに影響します。
- ハフニウム
- お使いの ESET セキュリティ製品は、以下の脅威を検出します:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- マイクロソフトのセキュリティパッチをインストールする
- ESET LiveGridを有効にしておく
- マルウェア攻撃のリスクを最小限に抑える
- WeLiveSecurityブログ記事
ソリューション
ProxyLogonとProxyShellの悪用
ProxyLogonとProxyShellはどちらも、HaniumやBlackByteランサムウェアのようなさまざまな犯罪グループによって使用されています。また、ProxyLogonとProxyShellは、侵害されたExchangeサーバから悪意のある電子メールを送信するBusiness Email Compromises(BEC)にも使用されています。
ESETのソフトウェアはこの攻撃を検出することができますが、ProxyLogonとProxyShellの両方のパッチをすべてのExchangeサーバに適用し、悪用されるリスクを回避する必要があります。
ProxyLogonの悪用
ProxyShellの悪用
マイクロソフト セキュリティパッチ
脆弱性を悪用して初期アクセスを獲得した後、攻撃者(例えばHAFNIUM)は侵害されたサーバー上にWebシェルを展開します。ウェブシェルは、攻撃者がデータを盗んだり、さらなる侵害につながる悪意のあるアクションを実行したりすることを可能にする可能性があります。HAFNIUMに関する技術情報と攻撃の詳細をご覧ください。
この攻撃チェーンで使用されるWebシェルおよびバックドアの検出は、次のように表示されます:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/ウェブシェル
- ASP/ReGeorg
Microsoft Exchange サーバのリモートコード実行の脆弱性は以下の通りです:
詳しくは、マイクロソフトエクスチェンジの脆弱性が発見され、悪用されているをご覧ください。ESETは、Microsoftのセキュリティ更新プログラムを直ちにインストールすることを強く推奨します。
最高レベルのセキュリティを確保するため、ESET製品を常に最新バージョンにすることをお勧めします:ESETビジネス製品の最新バージョンを確認する
ESET LiveGridを有効にしておく
場合によっては、ESET LiveGridを有効にしたESET製品の方が、モジュールのアップデートよりも新しい脅威に迅速に対応できることがあります。
ESETのLiveGridについて詳しく知り、お使いのESET製品で有効になっていることを確認する.
マルウェア攻撃のリスクを最小限に
マルウェア攻撃のリスクを最小限に抑えるにはどうすればよいですか.
- 重要なデータをバックアップする
- デフォルト設定を変更しない
- セキュリティパッチをダウンロードする
WeLiveSecurityのブログ記事
このエクスプロイトからシステムを保護する方法の詳細については、以下のESETのブログ記事をお読みになることをお勧めします:
ゼロデイ攻撃に関連するESETセキュリティ記事の一覧は、ゼロデイ攻撃をご覧ください。
