安全是有分量的

cc防御_香港高防虚拟主机_精准

2022-06-21 06:20栏目:防护

cc防御_香港高防虚拟主机_精准

微软的Defender ATP研究团队今天发布了关于如何通过阻止通过基于行为的检测识别的恶意活动来防御针对Exchange服务器的攻击的指南。

微软研究人员的分析基于4月初调查的多个Exchange攻击活动,这些活动显示了恶意参与者是如何在本地Exchange服务器上部署web外壳的。

多种无文件技术也被用作这些攻击的一部分,"为检测和解决这些威胁增加了另一层复杂性,并展示了基于行为的检测是如何保护组织的关键。"

虽然威胁参与者通常使用社会工程和驱动下载来窃取组织员工的凭据,以便在网络中移动,并最终控制Exchange服务器,但Microsoft表示,攻击也越来越集中于利用未修补的Exchange服务器。

当试图利用Exchange漏洞进行攻击时,"攻击者利用影响目标Exchange服务器的基础Internet信息服务(IIS)组件的远程代码执行漏洞进行攻击,"Microsoft解释道。

"这是攻击者的梦想:直接登录服务器,如果服务器的访问级别配置错误,则获得系统权限。"

"第一种情况更常见,但我们看到第二种类型的攻击在增加,"微软Defender ATP研究团队补充道"在许多情况下,在攻击者获得对Exchange服务器的访问权后,接下来的就是将web shell部署到服务器上的众多web可访问路径之一,高防cdn高盾效果最好,"Microsoft进一步解释道。

网络外壳是黑客部署在受损服务器上的工具,高防cdn为什么那么贵,用于获取和维护访问权限,以及远程执行任意命令和代码,交付恶意软件有效载荷,并横向移动到网络内的其他设备。

它们可以以多种形式上传,从设计用于提供web shell功能和Perl、Python、Ruby和Unix shell脚本的程序,到web应用程序中插入的应用程序插件和PHP或ASP代码片段美国国家安全局(NSA)和澳大利亚信号局(ASD)在4月发布了一份联合报告,警告恶意行为者增加对易受攻击的web服务器的攻击,以部署web外壳后门。

微软的研究人员还表示,在对最近的Exchange攻击进行调查后,他们发现利用Exchange漏洞的攻击有所增加,"特别是利用CVE-2020-0688等Exchange漏洞的攻击。"

"修复此漏洞的安全更新已经提供了几个月,但值得注意的是,到目前为止,攻击者发现有漏洞的服务器成为攻击目标。"

此漏洞存在于Exchange控制面板(ECP)组件中,是由于Exchange在安装时未能创建唯一的加密密钥造成的。

一旦成功利用,CVE-2020-0688使经过身份验证的攻击者能够在被利用的服务器上以系统权限远程执行代码,防御ddos限制端口,并完全破坏代码。

在Redmond解决CVE-2020-0688漏洞两周后,黑客已经开始扫描易受攻击的Microsoft Exchange服务器。

4月,发现的所有未打补丁的Exchange服务器中有82.5%尚未打补丁,防火墙如何防御ddos攻击,微软此前警告说它可能用于勒索软件攻击,NSA将其列为用于在易受攻击的服务器上部署后门的安全漏洞之一。

NSA也在一个月前警告了相同的远程代码执行漏洞,提醒用户如果想要阻止攻击者使用电子邮件凭据在Microsoft Exchange服务器上执行命令,请修补其服务器。

安全研究人员还观察到,国家支持的黑客组织利用Exchange Web服务(EWS)利用CVE-2020-0688漏洞强行获取凭据,美国国防部也证实了这些攻击(‎国防部)来源:

由于Exchange服务器是企业环境中的高价值目标,目标是使用规避、无文件的技术,因此它们应该是最重要的保护资产之一。

Microsoft建议客户始终应用最新的Exchange服务器,始终启用其反恶意软件解决方案,确保经常检查敏感组和角色是否存在可疑的删除和添加,如何防御最新的ddos,通过应用最小特权原则限制访问,并立即调查可疑活动警报。