Выпуск
- Эксплойты ProxyLogon и ProxyShell
- Эта угроза затрагивает пользователей Microsoft Exchange Server версий 2010, 2013, 2016 и 2019
- Hafnium
- Ваш продукт безопасности ESET обнаруживает следующую угрозу
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Установите обновление безопасности Microsoft
- Держите ESET LiveGrid включенным
- Сведите к минимуму риск атаки вредоносного ПО
- Сообщение в блоге WeLiveSecurity
Решение
Эксплойты ProxyLogon и ProxyShell
Эксплойты ProxyLogon и ProxyShell были замечены и использованы различными преступными группами, такими как Hanium или BlackByte ransomware. Они также использовались для осуществления компрометации деловой электронной почты (BEC) с целью отправки вредоносных писем со взломанных серверов exchange.
Хотя программное обеспечение ESET может обнаружить эту атаку, исправления для ProxyLogon и ProxyShell должны быть применены ко всем серверам exchange, чтобы предотвратить риск эксплуатации.
Эксплойт для ProxyLogon:
Эксплойт для ProxyShell:
Патч безопасности Microsoft
После использования уязвимостей для получения первоначального доступа операторы (например, HAFNIUM) разворачивают веб-оболочки на скомпрометированном сервере. Веб-оболочки потенциально позволяют злоумышленникам похищать данные и выполнять дополнительные вредоносные действия, которые приводят к дальнейшей компрометации. Более подробная техническая информация и детали атаки на HAFNIUM.
Обнаружение веб-оболочек и бэкдоров, используемых в этой цепочке атак, выглядит следующим образом:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
К уязвимостям удаленного выполнения кода на сервере Microsoft Exchange относятся:
- CVE-2021-26855 (наиболее распространенная)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Подробнее о Уязвимости Microsoft Exchange обнаружены и эксплуатируются в дикой природе. ESET настоятельно рекомендует немедленно установить обновление безопасности Microsoft.
Чтобы обеспечить максимальный уровень безопасности, мы рекомендуем всегда использовать последнюю версию продукта ESET: Проверьте последнюю версию продуктов ESET для бизнеса
Держите ESET LiveGrid включенным
В некоторых случаях продукт ESET с включенным ESET LiveGrid может быстрее реагировать на новые угрозы, чем обновления модулей.
Узнайте больше о ESET LiveGrid и убедитесь, что он включен в вашем продукте ESET.
Сведите к минимуму риск атаки вредоносного ПО
Что я могу сделать, чтобы минимизировать риск атаки вредоносного ПО?
- Делайте резервные копии важных данных
- Не изменяйте настройки по умолчанию
- Загрузите исправления для системы безопасности
Сообщение в блоге WeLiveSecurity
Чтобы узнать больше о том, как защитить свою систему от этого эксплойта, мы рекомендуем вам прочитать следующую статью в блоге ESET:
- Microsoft спешно выпускает исправления для четырех дефектов нулевого дня в Exchange Server
- Серверы Exchange находятся в осаде по меньшей мере 10 групп APT
Список всех статей ESET по безопасности, связанных с атаками нулевого дня, см. в статье Атаки нулевого дня.
