Exchange server-aanvallen stoppen niet – aanvallers installeren 7 backdoors


Aanvallers richten zich momenteel opnieuw op Microsoft Exchange Server. Na succesvolle aanvallen plaatsen ze achterdeurtjes in systemen, kopiëren ze bedrijfsinformatie en versleutelen ze data met de Conti ransomware. Sinds april zijn er beveiligingspatches beschikbaar.

In een rapport stellen beveiligingsonderzoekers van Sophos:dat ze aanvallen hebben waargenomen waarbij aanvallers na het exploiteren van de als “kritisch“Gerubriceerd ProxyShell gedoopte gaten (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) verspreiden zich systematisch over netwerken en installeren kwaadaardige code. Als aanvallers de kwetsbaarheden combineren, kunnen ze systemen op afstand aanvallen, authenticatie omzeilen, verhoogde gebruikersrechten verkrijgen en hun eigen code uitvoeren.

De onderzoekers stellen dat de aanvallers binnen enkele dagen zeven achterdeuren in het systeem hebben achtergelaten voor latere toegang. Ze kopieerden ook 1 terabyte aan gegevens en lieten de Conti-coderingstrojans aan de lijn.

Voor aanvallen gebruiken aanvallers de kwetsbare autodiscovery-functie. Meestal gebeurt dit met verzoeken als deze:

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Onder /autodiscover/autodiscover.json kunnen beheerders in logbestanden zoeken naar onbekende e-mailadressen om poging tot aanvallen te detecteren. In het huidige geval moeten adressen verschijnen met @ evil.corp.

De tools van de Conti ransomware zijn als een Zwitsers zakmes van de aanvaller en bieden zeer diverse aanvalsmogelijkheden.

(Afbeelding: Sophos )

Aangezien het installeren van de beveiligingspatches die sinds april beschikbaar zijn gelijk staat aan een upgrade en e-mails via Exchange Server in deze periode niet aankomen of uitgaan, hebben sommige beheerders de updates uiteraard nog niet geïnstalleerd. Dat moet uiterlijk nu gebeuren. Het risico dat voortkomt uit de hiaten is zeer hoog en Aanvallers maken al ongeveer een maand actief misbruik van de ProxyShell-kwetsbaarheden.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: