- Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange cũng như thực hiện các bước để nâng cao độ bảo mật, như bật Windows Extended Protection và cấu hình certificatebased signing của payload PowerShell.
Microsoft cũng nhấn mạnh các biện pháp giảm thiểu do công ty đưa ra chỉ là giải pháp tạm thời và chúng có thể không đủ để bảo vệ và chống lại mọi biến thể của cuộc tấn công.
Điều này đòi hỏi người dùng phải cài đặt các bản cập nhật bảo mật để bảo mật máy chủ Exchange Server đã được chứng minh là một công cụ tấn công nổi tiếng trong những năm gần đây.
Ảnh minh họa |
Với một số lỗi bảo mật trong phần mềm được vũ khí hóa dưới dạng zero-day để xâm nhập vào hệ thống. Chỉ trong 2 năm qua, một số lỗ hổng bảo mật đã được phát hiện trong Exchange Server như ProxyLogon, ProxyOracle, ProxyShell, Proxy Token, ProxyNotShell.
Hầu hết các cuộc tấn công được cho là mang tính cơ hội hơn là tập trung và nhằm mục tiêu, với sự lây nhiễm lên đến đỉnh điểm trong nỗ lực triển khai web shells và phần mềm quản lý và giám sát từ xa (RMM) như ConnectWise Control và Go To Resolve.
Việc khai thác các lỗ hổng Microsoft Exchange cũng là một chiến thuật lặp đi lặp lại được sử dụng bởi UNC2596 (còn gọi là Tropical Scorpius), với một cuộc tấn công tận dụng trình tự khai thác ProxyNotShell để loại bỏ downloader BUGHATCH.
Mặc dù giai đoạn lây nhiễm ban đầu tiếp tục phát triển và các tác nhân đe dọa nhanh chóng khai thác bất kỳ cơ hội mới nào, nhưng các hoạt động hậu khai thác của chúng đã trở nên quen thuộc. Cách bảo vệ tốt nhất chống lại các cuộc tấn công mạng là kiến trúc phòng thủ chuyên sâu.
PV