Husk de mange sårbarheder, der sætter Microsoft Exchange-servere i fare for forskellige angreb?
ProxyLogon-sårbarheder, der bruges i Cryptojacking-angreb
Nu skal en anden fare føjes til trusselisten - kryptojacking også kendt som kryptokurvedrift. SophosLabs forskere opdagede, at de angribere, der udnytter Exchange-servere, nu bruger de kompromitterede servere til at være vært for en Monero-minearbejder. Andre trusler mod sådanne servere inkluderer APT-angreb, ransomware, og webshells.
”SophosLabs-teamet inspicerede telemetri, da de stødte på det usædvanlige angreb rettet mod en kundes Exchange-server. Angrebet begynder med en PowerShell-kommando til at hente en fil med navnet win_r.zip fra en anden kompromitteret servers Outlook Web Access-loginsti (/owa / autent)," rapporten afsløret.
En uidentificeret trusselsaktør har forsøgt at udnytte ProxyLogon-udnyttelsen til at påtvinge en Monero-cryptominer på Exchange-servere. Selve nyttelasten er også hostet på en kompromitteret Exchange-server.
Den eksekverbare tilknyttet angrebet er kendt som Mal / Inject-GV og XMR-Stak Miner (PUA). Rapporten delte også en komplet liste over kompromisindikatorer for at hjælpe organisationer med at identificere, om de er blevet angrebet.
Mere om ProxyLogon-sårbarhederne
Den sårbarheder, der påvirker Microsoft Exchange Server er CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, og CVE-2021-27065. Berørte versioner inkluderer Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, og Microsoft Exchange Server 2019.
Fejlene bruges som en del af en angrebskæde, kendt som ProxyLogon. At blive igangsat med succes, et angreb kræver en upålidelig forbindelse til en bestemt Exchange-serverport, 443. Dette smuthul kan beskyttes ved at begrænse utroforbindelse, eller ved at oprette en VPN til at adskille serveren fra ekstern adgang. Men, disse afbødningstricks tilbyder kun delvis beskyttelse. Virksomheden advarer om, at andre dele af kædeangrebet kan udløses, hvis en angriber allerede har adgang eller kan overbevise en administrator om at køre en ondsindet fil.
Det er bemærkelsesværdigt, at i marts sidste år, statsstøttede hackegrupper udnyttede CVE-2020-0688, en anden sårbarhed i Microsoft Exchange-e-mail-servere. Derefter, i maj, Exchange-serveren blev angrebet af den såkaldte Valar Trojan. Malwareangrebet var primært rettet mod ofre i Tyskland og USA, i et avanceret trusselsscenarie leveret til de sårbare systemer på flere trin.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: