Microsoft 零日 Exchange 漏洞显示网络行为可见性的价值

微软长期以来一直是网络犯罪的首要目标,甚至可能是首要目标。不仅微软软件无处不在,而且许多黑客根本就不喜欢这家公司。也许最重要的是,对微软的攻击给了黑客他们最想要的东西——宣传。

零日攻击永无止境。尽早发现可以减轻痛苦。

最近几天,针对 Microsoft 本地 Exchange 服务器的两个零日漏洞已被公开并被利用。好消息是,Exchange 云用户(例如 Microsoft 365 客户)不必担心,因为这些漏洞仅针对本地版本。

“微软意识到 利用两个已报告的零日漏洞发动的针对性攻击有限, 这些漏洞会影响 Microsoft Exchange Server 2013、Exchange Server 2016 和 Exchange Server 2019。第一个漏洞被标识为 CVE-2022-41040,是一个服务器端请求伪造 (SSRF) 漏洞,而第二个漏洞被标识为 CVE-2022-41082,当攻击者可以访问 Exchange PowerShell 时,该漏洞允许远程代码执行 (RCE)。请参阅 Microsoft 安全响应中心博客 以获取缓解指南,”微软博客

解释道。“CVE-2022-41040 可使经过身份验证的攻击者远程触发 CVE-2022-41082。但是,要成功利用任一漏洞,必须对易受攻击的 Exchange Server 进行身份验证访问,并且可以单独使用它们。”

微软自夏季中旬以来一直在跟踪这些漏洞,并“在 2022 年 8 月观察到与单个活动组织有关的活动,该组织通过在少数有针对性的攻击中链接 CVE-2022-41040 和 CVE-2022-41082 获得了初始访问权限并入侵了 Exchange 服务器,”微软博客称。“这些攻击安装了 Chopper web shell 以方便动手键盘访问,攻击者使用它来执行 Active Directory 侦察和数据泄露。”

微软“有中等信心认为该单一活动组织很可能是一个受国家支持的组织”。

下面的 Microsoft 图表显示了链式漏洞的工作原理。

 

利用 Exchange 漏洞 CVE-2022-41040 和 CVE-2022-21082 的攻击图表。

公开披露提高赌注
一旦公开披露,网络攻击就会爆发,而这正是 2022 年 9 月 28 日 GTSC 发布 博客 披露漏洞后发生的事情。微软警告称:“随着安全研究人员和网络犯罪分子将已发布的研究纳入他们的工具包,并且概念验证代码可用,预计类似的威胁和对这些漏洞的总体利用将会增加。”

修补/更新
一旦漏洞被披露,攻击就不再是零日攻击。一旦发布补丁或更新来修复漏洞,攻击通常会增加,变得更加危险。原因有二。公开披露以及补丁或更新为网络犯罪分子创建了蓝图,他们利用漏洞采取行动。攻击通常会共享甚至以服务的形式出售,因此即使是最业余的黑客也可以攻击网络。这就是为什么在安全修复程序可用时立即修补或更新系统至关重要的原因——否则,您的网络就是活靶子。

针对管理员的网络钓鱼

特权提升攻击使黑客能够访问网络的最深处。一种捷径是自己接管管理员帐户——通常是通过网络钓鱼。例如,IT 管理员可能会收到一封诱骗他们泄露其凭据的电子邮件。

这是针对 Office 365 管理员的网络钓鱼攻击示例 — — 尽管它可能发生在任何 IT 专业人员身上。

 

在其他情况下,IT 管理员帐户很容易被破解,因为很少有人使用多因素身份验证 (MFA)。事实上,微软在其 Ignite 大会上对与会者进行了调查,令人震惊的是,全球所有 Office 365 管理员中,只有不到 2% 启用了 MFA。

与此同时,CoreView 的一项调查结果更好,但仍然令人震惊——78% 的 O365 管理员没有激活 MFA。同时,57% 的管理员拥有过多的、提升的权限和特权,这些权限和特权使这些管理员和窃取其凭据的黑客能够访问、修改和窃取关键数据。

是的,这听起来确实很蠢,但管理员通常有很多很多帐户,而登录每个帐户的额外步骤显然很麻烦。你知道更烦人的是什么吗?黑客窃取权限并让您的企业面临风险!

虽然这些是云的示例,但可以假设 MFA 和过多的权限在本地也同样糟糕。

异常检测/网络行为分析 (NBA)

零日攻击的定义是反恶意软件/反病毒解决方案和其他安全工具尚未定义的,因此无法防御。由于很难阻止这些攻击,因此 IT 必须尽快了解入侵情况。这需要深入了解网络上发生的事情,能够立即发现异常活动,同时确定活动发生的位置。这里的关键是异常检测。

那么什么是网络行为分析?“网络行为分析是一种网络监控程序,可确保专有网络的安全。NBA 通过监控流量和观察网络操作的异常活动和偏离来帮助提高网络安全性,” Techopedia解释道。“网络行为分析通过从许多数据点和设备收集数据以提供详细的离线分析,监控活动网络的内部事件。它不断监视网络,标记已知和未知的活动、新的和不寻常的模式,并通过标记指示潜在威胁。网络行为分析还会检查并考虑通信过程中使用的带宽和协议的变化。这特别适用于查找潜在危险的数据源或网站。网络行为分析程序的职责是减少网络管理员在检测和解决网络问题上所花费的劳动力和时间。因此,它是一个额外的层。

听取 Gartner 的建议

Gartner 认为 NBA 是关键的安全措施。Gartner 副总裁 Paul Proctor 表示:“成功部署防火墙和入侵防御系统并采用适当的调整、分析和补救流程后,您应该考虑使用 NBA 来识别使用其他技术无法检测到的网络事件和行为。”

NBA 加强防守
正如 Gartner 所指出的,网络行为分析 (NBA) 是纵深防御武器库的重要组成部分,它通过驻留在网络内来弥补端点和外围保护之间的差距。NBA 不依赖签名来检测攻击,而是分析网络行为来发现异常并表明存在攻击的情况。不仅如此,NBA 还能发现异常行为发生的位置以及涉及哪些系统。

有了 NBA,IT 部门就能收到黑客入侵的警报,并能迅速做出反应。这得益于对整个网络的深入监控和分析。“入侵内部系统的未知恶意软件、破坏性的 DDoS 攻击、APT 和绕过传统安全措施的威胁的兴起改变了 IT 安全格局。构建外围墙和依赖基于签名的解决方案已经不够了。只有详细了解网络行为并主动打击网络威胁,才能将 IT 环境的控制权交还给管理员,”Flowmon 的网络行为分析和异常检测页面指出。

详细了解 Flowmon 如何提供帮助

Flowmon ADS和网络行为分析可帮助 IT 确定网络上的异常活动,报告这些异常并检测标准方法无法发现的入侵和攻击,以便 IT 能够快速响应并最大限度地减少财务影响。

“Flowmon 为企业提供基于 NBAD 技术的先进安全情报。其 Flowmon 异常检测系统 (ADS) 是一款功能强大的工具,受到全球 CISO 和安全工程师的信赖,帮助他们掌控现代网络威胁。该解决方案利用复杂的算法和机器学习来自动识别绕过防火墙、IDS/IPS 或防病毒 以一种方式收集全球范围内的电话号码库,我们将所有可用的用户数据都在一个窗口中,而另一种方式未收集的数字,例如垃圾邮件。此外,我们每周都会刷新我们的电话号码库。在此处获取所有数 斯洛文尼亚公司电子邮件列表 据库2024最近更新所有电话号码库所有数据是GDRP基础,您可以以非常便宜的价格购买,请立即单击购买 等传统解决方案的网络异常和风险,”网络行为分析和异常检测解释道。

Flowmon ADS还包括信誉数据库,有助于发现与已知攻击者、命令控制域、僵尸网络、对等网络、垃圾邮件发送者等的通信。

Flowmon 证明了零日攻击的勇气
Flowmon 经销商 Propellent 过去依赖与防火墙协同工作的入侵检测系统来触发 IP 地址阻止。虽然该系统对多种类型的攻击肯定有效,但微调起来很费时间,而且未来扩展性不佳。它还只能提供网络威胁的周边覆盖。

“但真正的问题不是日常管理,”Propellent 董事总经理 Matt Wanless 表示。“以前的解决方案可以很好地防御已知威胁,但当遇到零日攻击或高级持续性威胁时,我们必须依靠端点保护来保护我们的客户,我们发现这是一种成本高昂且耗时的方法,并且仍然存在很大的局限性。”

电子邮件列表

 

凭借这一成功,Propellent 开始提供 Flowmon 作为托管服务,其中包括缓解零日威胁。

在 Flowmon 产品套件添加到 Kemp 的产品组合后不久,我们就联系了 Propellent,他们迄今为止一直是 LoadMaster 系列负载平衡器的经销商,并向他们介绍了 Flowmon 解决方案。

“我们想对它进行适当的测试,因此我们首先在 NFR 许可下小规模实施了它,”Wanless 继 的故事讲述了如何传承每个客户旅程的精髓 续说道。“对 Flowmon 进行实际评估非常重要,因此我们与我们的一位客户一起针对他们的一些实时服务对其进行了测试部署。”

这是 imagicam,Propellent 的客户之一,Propellent 为其提供托管和安全管理服务。

“imagicam 致力于保护数据并使用行业最佳标准。我们了解数据安全的重要性,并尽一切努力确保系统上的数据得到充分保护,”imagicam 的 Peter Grey 说道。

通过 Propellent,imagicam 采用最先进的技术和流程实施纵深防御方法。

Wanless 表示:“最终,我们可以清晰地了解 imagicam 基础设施中存在的所有威胁,从 网络行为分 电话号码 析 (NBA),也称为 而轻松获得可付诸行动的情报。”通过这种方式,Propellent 获得了有关危及客户的网络威胁的不容置疑的真相来源,并能够使用真实流量数据测试和展示产品的功能。

该部署包括一个虚拟 Kemp Flowmon Collector,带有异常检测系统 (ADS) 模块,用于基于网络的行为分析和异常检测。该系统使用 Open vSwitch 和来自其他交换机的流数据作为来源。“这对我们来说也是一个胜利,”Wanless 补充道,“因为我们可以使用现有的数据作为流数据源,而不必立即购买专有传感器。”

Propellent 很欣赏其易于管理、简化的事件调查工作流程以及在 ADS 中的事件视图中添加附加工具以集成其自己定制的工具的能力。

在我们的Propellent 通过 FlowMon 提供托管零日威胁防护案例研究中了解更多信息。

让攻击者无处藏身

即使您的服务器受到 Microsoft 漏洞的攻击,Flowmon 的网络安全也意味着这些攻击者毫无机会。其最先进的异常检测系统允许 Flowmon 检测网络上的横向移动、数据泄露或其他攻击者的恶意活动。

在我们的网站上了解有关Flowmon 异常检测的更多信息。

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部