Denk aan de vele kwetsbaarheden die Microsoft Exchange-servers het risico op verschillende aanvallen geven?
ProxyLogon-kwetsbaarheden die worden gebruikt bij cryptojacking-aanvallen
Nu moet er nog een ander gevaar aan de lijst met bedreigingen worden toegevoegd: cryptojacking, ook wel bekend als cryptocurrency-mining. SophosLabs-onderzoekers ontdekten dat de aanvallers die Exchange-servers misbruiken, de gecompromitteerde servers nu gebruiken om een Monero-mijnwerker te hosten. Andere bedreigingen tegen dergelijke servers zijn onder meer APT-aanvallen, ransomware, en webshells.
"Het SophosLabs-team inspecteerde telemetrie toen ze de ongebruikelijke aanval tegen de Exchange-server van een klant tegenkwamen.. De aanval begint met een PowerShell-opdracht om een bestand met de naam win_r.zip op te halen van het Outlook Web Access-aanmeldingspad van een andere gecompromitteerde server (/owa / auth)," het verslag onthuld.
Een niet-geïdentificeerde bedreigingsacteur heeft geprobeerd de ProxyLogon-exploit te gebruiken om een Monero-cryptominer op Exchange-servers op te leggen. De payload zelf wordt ook gehost op een gecompromitteerde Exchange-server.
Het uitvoerbare bestand dat aan de aanval is gekoppeld, staat bekend als Mal / Inject-GV en XMR-Stak Miner (PUA). Het rapport deelde ook een volledige lijst met indicatoren van compromittering om organisaties te helpen identificeren of ze zijn aangevallen.
Meer over de kwetsbaarheden van ProxyLogon
Het kwetsbaarheden met betrekking tot Microsoft Exchange Server zijn CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, en CVE-2021-27065. Betreffende versies zijn onder meer Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, en Microsoft Exchange Server 2019.
De gebreken worden gebruikt als onderdeel van een aanvalsketen, bekend als ProxyLogon. Om succesvol te worden geïnitieerd, een aanval vereist een niet-vertrouwde verbinding met een specifieke Exchange-serverpoort, 443. Deze maas in de wet kan worden beschermd door niet-vertrouwde verbindingen te beperken, of door een VPN in te stellen om de server te scheiden van externe toegang. Echter, deze beperkende trucs bieden slechts gedeeltelijke bescherming. Het bedrijf waarschuwt dat andere delen van de kettingaanval kunnen worden geactiveerd als een aanvaller al toegang heeft of een beheerder kan overtuigen om een schadelijk bestand uit te voeren.
Het is opmerkelijk dat afgelopen maart, door de staat gesponsorde hackgroepen maakten gebruik van CVE-2020-0688, een andere kwetsbaarheid in e-mailservers van Microsoft Exchange. Dan, in mei, de Exchange-server werd aangevallen door de zogenaamde Valar Trojan. De malware-aanval was vooral gericht op slachtoffers in Duitsland en de VS., in een geavanceerd dreigingsscenario dat op een meerfasige manier aan de kwetsbare systemen wordt geleverd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: