Η Microsoft εξέδωσε προειδοποίηση, καθώς ανακάλυψε πολλές απειλές που κρύβονται σε ήδη παραβιασμένους Exchange Server. Αν και πολλοί έχουν λάβει ενημερώσεις ασφαλείας, εξακολουθούν να κινδυνεύουν από επιθέσεις.
Η Microsoft προειδοποιεί σχετικά με πιθανές επιθέσεις παρακολούθησης, που στοχεύουν ήδη παραβιασμένους Exchange Server, ειδικά εάν οι εισβολείς χρησιμοποίησαν web shell scripts, για να αποκτήσουν persistence στον διακομιστή ή όπου ο εισβολέας έκλεψε διαπιστευτήρια κατά τη διάρκεια προηγούμενων επιθέσεων.
Δείτε επίσης: Το νέο Hog ransomware αποκρυπτογραφεί αρχεία θυμάτων μόνο αν συνδεθούν στον Discord server του προγραμματιστή του
Η Microsoft κυκλοφόρησε ενημερώσεις κώδικα για συστήματα εσωτερικής εγκατάστασης Exchange στις 2 Μαρτίου. Τέσσερα σφάλματα είχαν ήδη εκμεταλλευτεί από μια κρατική ομάδα hacking που ονομάζεται Hafnium.
Η Microsoft νωρίτερα αυτή την εβδομάδα είπε ότι το 92% των ευάλωτων Exchange Server είχαν διορθωθεί ή τους είχαν εφαρμοστεί μετριασμοί. Ωστόσο, η εταιρεία κυβερνοασφάλειας F-Secure δήλωσε ότι “δεκάδες χιλιάδες” Exchange Server είχαν ήδη παραβιαστεί.
Σε μια νέα ανάρτηση, η Microsoft επανέλαβε την προειδοποίησή της ότι “η επιδιόρθωση ενός συστήματος δεν αφαιρεί απαραίτητα την πρόσβαση του εισβολέα”.
Δείτε ακόμα: Περίπου 80.000 Exchange servers περιέχουν εκμεταλλεύσιμες ευπάθειες!
“Πολλά από τα παραβιασμένα συστήματα δεν έχουν ακόμη επηρεαστεί από άλλες ενέργειες, όπως επιθέσεις ransomware ή εξόρυξη δεδομένων, υποδεικνύοντας ότι οι εισβολείς θα μπορούσαν να δημιουργήσουν και να διατηρήσουν την πρόσβασή τους για πιθανές μεταγενέστερες ενέργειες“, σημειώνει η Microsoft 365 Defender Threat Intelligence Team.
Για τα συστήματα που έχουν παραβιαστεί, η Microsoft καλεί τους διαχειριστές να εφαρμόσουν την τακτική του least privilege και να μετριάσουν την πλευρική κίνηση σε ένα δίκτυο.
Το least privilege θα βοηθήσει στην αντιμετώπιση της μεθόδου όπου μια υπηρεσία Exchange ή μια προγραμματισμένη εργασία, έχει διαμορφωθεί με έναν πολύ προνομιακό λογαριασμό για την εκτέλεση εργασιών όπως αντίγραφα ασφαλείας.
Δείτε επίσης: DearCry ransomware: Στοχεύει unpatched Microsoft Exchange servers
Ακόμα και στις περιπτώσεις που τα θύματα δεν έχουν αναγκαστεί να δώσουν λύτρα, η χρήση του αρχείου xx.bat από τον εισβολέα, του επιτρέπει να εξερευνήσει ένα δίκτυο μέσω του web shell που τοποθέτησε το αρχείο την πρώτη φορά. Το web shell κατεβάζει επίσης το Cobalt Strike penetration testing kit πριν από τη λήψη του ransomware και την κρυπτογράφηση αρχείων. Με άλλα λόγια, ένα θύμα μπορεί να μην έχει αναγκαστεί να πληρώσει λύτρα σήμερα, αλλά ο εισβολέας έχει εργαλεία στο δίκτυό του για να το κάνει κάποια άλλη στιγμή.
Η Microsoft έχει δημοσιεύσει πολλούς δείκτες παραβίασης, που μπορούν να χρησιμοποιήσουν οι υπερασπιστές του δικτύου, για να αναζητήσουν την παρουσία αυτών των απειλών και σημάδια κλοπής διαπιστευτηρίων.
