Η
Microsoft
εξέδωσε προειδοποίηση, καθώς ανακάλυψε πολλές απειλές που κρύβονται σε ήδη παραβιασμένους Exchange Server. Αν και πολλοί έχουν λάβει
ενημερώσεις
ασφαλείας
, εξακολουθούν να κινδυνεύουν από
επιθέσεις
.
Η
Microsoft
προειδοποιεί σχετικά με πιθανές
επιθέσεις
παρακολούθησης, που στοχεύουν ήδη παραβιασμένους Exchange Server, ειδικά εάν οι εισβολείς χρησιμοποίησαν web shell scripts, για να αποκτήσουν persistence στον διακομιστή ή όπου ο εισβολέας έκλεψε διαπιστευτήρια κατά τη διάρκεια προηγούμενων επιθέσεων.
Δείτε επίσης:
Το νέο Hog
ransomware
αποκρυπτογραφεί αρχεία θυμάτων μόνο αν συνδεθούν στον
Discord
server του προγραμματιστή του
Η
Microsoft
κυκλοφόρησε
ενημερώσεις
κώδικα για
συστήματα
εσωτερικής εγκατάστασης Exchange στις 2 Μαρτίου. Τέσσερα σφάλματα είχαν ήδη εκμεταλλευτεί από μια κρατική ομάδα
hacking
που ονομάζεται Hafnium.
Η
Microsoft
νωρίτερα αυτή την εβδομάδα είπε ότι το 92% των ευάλωτων Exchange Server είχαν διορθωθεί ή τους είχαν εφαρμοστεί μετριασμοί. Ωστόσο, η
εταιρεία
κυβερνοασφάλειας F-Secure δήλωσε ότι “δεκάδες χιλιάδες” Exchange Server είχαν ήδη παραβιαστεί.
Σε μια νέα ανάρτηση, η
Microsoft
επανέλαβε την προειδοποίησή της ότι “η επιδιόρθωση ενός συστήματος δεν αφαιρεί απαραίτητα την πρόσβαση του εισβολέα”.
Δείτε ακόμα:
Περίπου 80.000 Exchange
servers
περιέχουν εκμεταλλεύσιμες
ευπάθειες
!
“
Πολλά από τα παραβιασμένα
συστήματα
δεν έχουν ακόμη επηρεαστεί από άλλες ενέργειες, όπως
επιθέσεις
ransomware
ή εξόρυξη δεδομένων, υποδεικνύοντας ότι οι εισβολείς θα μπορούσαν να δημιουργήσουν και να διατηρήσουν την πρόσβασή τους για πιθανές μεταγενέστερες ενέργειες
“, σημειώνει η
Microsoft
365
Defender
Threat
Intelligence
Team.
Για τα
συστήματα
που έχουν παραβιαστεί, η
Microsoft
καλεί τους διαχειριστές να εφαρμόσουν την τακτική του least privilege και να μετριάσουν την πλευρική
κίνηση
σε ένα δίκτυο.
Το least privilege θα βοηθήσει στην
αντιμετώπιση
της μεθόδου όπου μια
υπηρεσία
Exchange ή μια προγραμματισμένη
εργασία
, έχει διαμορφωθεί με έναν πολύ προνομιακό λογαριασμό για την εκτέλεση εργασιών όπως αντίγραφα
ασφαλείας
.
Δείτε επίσης:
DearCry
ransomware
: Στοχεύει unpatched
Microsoft
Exchange
servers
Ακόμα και στις περιπτώσεις που τα
θύματα
δεν έχουν αναγκαστεί να δώσουν λύτρα, η
χρήση
του αρχείου xx.bat από τον εισβολέα, του επιτρέπει να εξερευνήσει ένα δίκτυο μέσω του web shell που τοποθέτησε το αρχείο την πρώτη φορά. Το web shell κατεβάζει επίσης το Cobalt Strike penetration testing kit πριν από τη
λήψη
του
ransomware
και την κρυπτογράφηση αρχείων. Με άλλα λόγια, ένα θύμα μπορεί να μην έχει αναγκαστεί να πληρώσει λύτρα σήμερα, αλλά ο εισβολέας έχει εργαλεία στο δίκτυό του για να το κάνει κάποια άλλη στιγμή.
Η
Microsoft
έχει δημοσιεύσει πολλούς
δείκτες παραβίασης
, που μπορούν να χρησιμοποιήσουν οι υπερασπιστές του δικτύου, για να αναζητήσουν την παρουσία αυτών των απειλών και σημάδια κλοπής διαπιστευτηρίων.
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.