Sử dụng Công cụ giảm thiểu rũi ro bằng một cú nhấp chuột từ Microsoft để ngăn chặn các cuộc tấn công vào máy chủ Exchange

Microsoft gần đây đã phát hành một phần mềm giảm thiểu rũi ro chỉ bằng một cú nhấp chuột để áp dụng tất cả các biện pháp đối phó cần thiết trước các cuộc tấn công mạng ProxyLogon Exchange Server đang diễn ra.

Được gọi là công cụ EOMT ) bao gồm tập lệnh PowerShell có chức năng quét Máy chủ Exchange bằng Microsoft Safety Scanner để tìm bất kỳ trình bao web được triển khai nào và cố gắng khắc phục các thỏa hiệp đã phát hiện.

Microsoft cho biết: “Công cụ này được thiết kế như một biện pháp giảm nhẹ tạm thời cho những khách hàng không quen với quy trình vá / cập nhật hoặc chưa áp dụng bản cập nhật bảo mật Exchange tại chỗ .

Sự phát triển diễn ra sau các cuộc tấn công bừa bãi nhằm vào các Máy chủ Exchange chưa được vá trên khắp thế giới bởi hơn mười tác nhân đe dọa liên tục tiên tiến – hầu hết các nhóm gián điệp mạng được chính phủ hậu thuẫn – để cấy các backdoor, công cụ khai thác tiền ảo và cả ransomware , và với việc phát hành bằng chứng- của khái niệm (PoC) càng thúc đẩy làn sóng tấn công hơn nữa.

Dựa trên phép đo từ xa từ RiskIQ , có 317.269 trong số 400.000 Máy chủ Exchange nội bộ trên toàn cầu đã được vá vào ngày 12 tháng 3, trong đó Mỹ, Đức, Anh, Pháp và Ý dẫn đầu các quốc gia có máy chủ dễ bị tấn công.

Ngoài ra, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cập nhật hướng dẫn của mình để nêu chi tiết tới 7 biến thể của web shell China Chopper đang bị kẻ xấu tận dụng.

Chỉ chiếm 4 kilobyte, web shell này là một công cụ hậu khai thác phổ biến được những kẻ tấn công mạng lựa chọn trong gần một thập kỷ.

Trong khi quy mô của các cuộc xâm nhập đang được đánh giá, Microsoft đang điều tra làm thế nào mà các cuộc tấn công “có giới hạn và có mục tiêu” mà hãng phát hiện vào đầu tháng 1 đã nhanh chóng biến thành một chiến dịch khai thác hàng loạt rộng rãi, buộc hãng phải phát hành các bản sửa lỗi bảo mật một tuần. trước khi nó đến hạn.

Tờ Wall Street Journal hôm thứ Sáu đưa tin rằng các nhà điều tra đang tập trung vào việc liệu một đối tác của Microsoft, người mà công ty đã chia sẻ thông tin về các lỗ hổng thông qua Chương trình Bảo vệ Chủ động của Microsoft ( MAPP ), vô tình hay cố ý làm rò rỉ nó cho các nhóm khác.

Giả thuyết cho rằng các tác nhân đe dọa đã phát hiện ra cùng một tập hợp các lỗ hổng một cách độc lập, sau đó được khai thác để lén lút tiến hành trinh sát các mạng mục tiêu và đánh cắp hộp thư, trước khi tăng cường các cuộc tấn công khi tin tặc phát hiện ra Microsoft đang chuẩn bị bản vá.

Microsoft cho biết: “Đây là lần thứ hai trong vòng bốn tháng qua, các tổ chức quốc gia-nhà nước tham gia vào các cuộc tấn công mạng với khả năng ảnh hưởng đến các doanh nghiệp và tổ chức ở mọi quy mô . “Mặc dù đây bắt đầu là một cuộc tấn công cấp quốc gia, nhưng các lỗ hổng bảo mật đang bị các tổ chức tội phạm khác, bao gồm cả các cuộc tấn công ransomware mới, khai thác với khả năng xảy ra các hoạt động độc hại khác.”

BQT Security365 / THN

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s