Utgåva
- ProxyLogon och ProxyShell exploaterar
- Detta hot påverkar användare av Microsoft Exchange Server-versionerna 2010, 2013, 2016 och 2019
- Hafnium
- Din ESET-säkerhetsprodukt upptäcker följande hot
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Installera Microsofts säkerhetspatch
- Håll ESET LiveGrid aktiverat
- Minimera risken för attacker från skadlig kod
- Blogginlägg från WeLiveSecurity
Lösning för
ProxyLogon och ProxyShell utnyttjar
Både ProxyLogon och ProxyShell har setts och använts av olika kriminella grupper som Hanium eller BlackByte ransomware. Båda användes också för att utföra Business Email Compromises (BEC) för att skicka skadliga e-postmeddelanden från komprometterade utbytesservrar.
ESET-programvaran kan upptäcka den här attacken, men patchar för både ProxyLogon och ProxyShell bör tillämpas på alla Exchange-servrar för att förhindra risken för utnyttjande.
Utnyttjande av ProxyLogon:
ProxyShell-attack:
Microsofts säkerhetsuppdatering
Efter att ha utnyttjat sårbarheter för att få initial åtkomst distribuerar operatörer (t.ex. HAFNIUM) webbskal på den komprometterade servern. Web shells gör det möjligt för angripare att stjäla data och utföra ytterligare skadliga åtgärder som leder till ytterligare kompromettering. Se mer teknisk information och attackdetaljer om HAFNIUM.
Detekteringen för de webbskal och bakdörrar som används i denna attackkedja ser ut som:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Sårbarheterna för fjärrkörning av kod i Microsoft Exchange-server är:
- CVE-2021-26855 (den vanligaste)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Läs mer om Sårbarheter i Microsoft Exchange upptäckta och utnyttjade i naturen. ESET rekommenderar starkt att du installerar Microsofts säkerhetsuppdatering omedelbart.
För att säkerställa högsta möjliga säkerhetsnivå rekommenderar vi att du alltid använder den senaste versionen av din ESET-produkt: Sök efter den senaste versionen av dina ESET-företagsprodukter
Håll ESET LiveGrid aktiverat
I vissa fall kan din ESET-produkt med ESET LiveGrid aktiverat reagera snabbare på nya hot än moduluppdateringar.
Läs mer om ESET LiveGrid och se till att det är aktiverat i din ESET-produkt.
Minimera risken för attacker från skadlig kod
Vad kan jag göra för att minimera risken för en attack mot skadlig programvara?
- Säkerhetskopiera dina viktiga data
- Ändra inte standardinställningar
- Ladda ner säkerhetsuppdateringar
Blogginlägg från WeLiveSecurity
För att lära dig mer om hur du kan skydda ditt system från denna exploatering rekommenderar vi att du läser följande ESET-blogginlägg:
- Microsoft skyndar ut fixar för fyra nolldagarsfel i Exchange Server
- Exchange-servrar under belägring från minst 10 APT-grupper
För att se en lista över alla ESET-säkerhetsartiklar relaterade till nolldagsattacker, se Nolldagsattacker.
