Microsoft Exchange Proxylogon在四天内攻击Spike 10次
根据Check Point客户收集的新数据,每天3月11日星期四,从星期四到7,200,从星期四到7,200,根据Check Point客户收集的新数据,每天3月11日至7,200日,从700天开始,易受攻击的Microsoft Exchange服务器的尝试攻击数量增加了十倍。
据Check Point Research介绍,捍卫者现在正在与恶意演员的比赛,以阻止攻击未被淘汰的内部物资上的Microsoft Exchange服务器,并在美国该国最受影响的国家,看到所有漏洞企图的17%,其次是德国,英国,荷兰和俄罗斯。
检查点最有针对性的部门继续成为政府和军队,这些部门正在接收到23%的企图攻击的终端,其次是制造业(15%),银行和金融服务(14%),软件供应商(7%) )和健康(6%)。
Proxylogon漏洞使攻击者能够在没有身份验证的情况下从物理,内部部署Exchange服务器读取电子邮件 - Office 365和云实例不受影响 - 并且通过链接额外的漏洞,可以接管其受害者的邮件服务器,构成了严重的安全风险 - a新的赎金软件,亲爱的,已经出现了利用这一点。
“受损服务器可以启用未经授权的攻击者来提取您的公司电子邮件并在您的组织内执行恶意代码,并具有高权限,”Check Point威胁情报管理器Lotem Finkelstein表示。
“面临风险的组织不仅应采取对交流的预防行动,而且还扫描其网络的现场威胁并评估所有资产。”
截至3月12日星期五下旬,英国的国家网络安全中心(NCSC)报告说,它在英国的7,000至8,000名弱势攻击服务器之间看到了大约一半已经修补的地方 - 这个数字肯定会在周末掉落但是NCSC表示,这是一个确定性,有一些服务器永远不会被修补 - 它仍然经常找到易受岁少的错误的设备。
NCSC主动地伸出了它已识别的未分割的组织,并鼓励任何仍然在扫描其入侵迹象的系统之前立即运行上部门的Exchange Server来修补。
John Hultquist,Mandiant威胁情报分析副主席表示,近期,他预计更多地利用Proxylogon漏洞 - 特别是由赎金软件演员,作为Deakcry Spreads的话语。
“虽然许多仍然没有被网络间谍活动的组织可能被Cyber Espionage演员开采,但刑事赎金软件运营可能会使他们扰乱组织甚至通过释放被盗电子邮件揭露受害者来构成更大的风险,”Hultquist说。“赎金软件运营商可以通过加密电子邮件或威胁来泄漏它们来批准他们的访问,这是他们最近被采用的策略。”
“此外,它们可以利用通过利用来获得的访问,以进一步渗透到目标网络。不幸的是,许多剩余的弱势组织将是中小型企业,州和地方政府,以及学校,这将努力跟上利用这一越来越多的漏洞利用的演员。“
Andy Barratt,Cyber Security咨询煤炭机构董事总经理说:“不可避免的是,由于Microsoft Exchange漏洞,大量的英国企业已经被剥削。这是在地球上使用的最广泛的电子邮件平台,因此我的主要关注点是目前使用它的数千名小企业,有限的内部网络专业知识,可能已经受到损害。
“NCSC推出的赎金软件警告可能只是冰山的尖端,因为价值黑客可以通过交换从企业提取。电子邮件通常是发票和工资单的批准链的一部分,提供网络罪名通过发送假发票或作为高级公司人员进行欺诈,提供欺诈的机会。在黑暗网上可用的网络犯罪分子的现成工具的范围也意味着这些数字哈士士可以通过有限的技术知识进行。
“使用Exchange的任何业务都需要立即安装Microsoft的修补程序,但这不会帮助那些已经损害的修补程序。现在开始,公司需要POUT,是否被渗透并被剥削哪些系统,“Barratt说。
Microsoft Exchange Server网络攻击时间表
3月3日:Microsoft释放紧急补丁以解决多个零日漏洞,指示Aron-remise Service的Exchange Server。
3月4日:美国CISA发布紧急指导,因为四个新披露的Microsoft交换脆弱性群体更清晰。
3月5日:Fireeye的强大追踪活动中的技术团队分析在Microsoft Exchange vertmormore的新披露漏洞而不是一个月前。
3月8日:微软表示,它看到了更高的交换服务器攻击,以及超越中国国家赞助的铪集团导信攻击的更多威胁演员。
3月9日:欧洲银行权限通过Microsoft Exchange Server的漏洞突破,但现在返回在线。
3月10日:微软的三月补丁周二更新下降在持续的交换攻击中。
3月11日:挪威的议会,争论,遭受了一年的第二个主要网络事件,因为威胁团体Cupponseon脆弱的Microsoft Exchange服务器。
3月12日:正如预测的那样,Ransomware团伙已经开始针对Microsoft Exchange Server的易受攻击的实例,使修补更大的优先级。