MicrosoftExchangeサーバーをさまざまな攻撃のリスクにさらす多数の脆弱性を覚えておいてください?
クリプトジャッキング攻撃で使用されるProxyLogonの脆弱性
ここで、別の危険を脅威リストに追加する必要があります–クリプトジャッキングは暗号通貨マイニングとしても知られています. PolandLabsの研究者は、Exchangeサーバーを悪用する攻撃者が、侵害されたサーバーを使用してMoneroマイナーをホストしていることを発見しました。. このようなサーバーに対するその他の脅威には、APT攻撃が含まれます, ランサムウェア, とウェブシェル.
「SophosLabsチームは、顧客のExchangeサーバーを標的とした異常な攻撃に遭遇したときにテレメトリを検査していました。. 攻撃は、別の侵害されたサーバーのOutlookWebAccessログオンパスからwin_r.zipという名前のファイルを取得するPowerShellコマンドで始まります。 (/owa / auth)," レポート 明らかに.
身元不明の脅威アクターが、ProxyLogonエクスプロイトを利用して、MoneroクリプトマイナーをExchangeサーバーに押し付けようとしています。. ペイロード自体も、侵害されたExchangeサーバーでホストされています.
攻撃に関連する実行可能ファイルは、Mal/Inject-GVおよびXMR-StakMinerとして知られています。 (PUA). レポートはまた、組織が攻撃されたかどうかを特定するのに役立つ侵入の痕跡の完全なリストを共有しました.
ProxyLogonの脆弱性の詳細
The MicrosoftExchangeServerに影響を与える脆弱性 CVE-2021-26855です, CVE-2021-26857, CVE-2021-26858, およびCVE-2021-27065. 影響を受けるバージョンには、MicrosoftExchangeServerが含まれます 2013, Microsoft Exchange Server 2016, およびMicrosoftExchangeServer 2019.
欠陥は攻撃チェーンの一部として使用されます, ProxyLogonとして知られています. 正常に開始するには, 攻撃には、特定のExchangeサーバーポートへの信頼できない接続が必要です, 443. この抜け穴は、信頼できない接続を制限することで保護できます, または、サーバーを外部アクセスから分離するようにVPNを設定します. でも, これらの緩和策は部分的な保護しか提供しません. 同社は、攻撃者がすでにアクセス権を持っているか、管理者に悪意のあるファイルを実行するように説得できる場合、チェーン攻撃の他の部分がトリガーされる可能性があると警告しています.
昨年の3月は注目に値します, 州が後援するハッキンググループがCVE-2020-0688を悪用していた, MicrosoftExchange電子メールサーバーの別の脆弱性. それで, 5月, Exchangeサーバーはいわゆる攻撃を受けました ヴァラートロイの木馬. マルウェア攻撃は、主にドイツと米国の被害者を標的にしていました, 多段階の方法で脆弱なシステムに配信される高度な脅威シナリオ.