攻击者如何针对利用Microsoft Exchange服务器

Posted 2021-04-01 Ots安全

微软表示，Microsoft Exchange服务器是希望深入企业网络的攻击者的理想目标，因为“它们提供了独特的环境，可以使攻击者使用管理员用于维护的相同内置工具或脚本来执行各种任务。”

尽管在大多数情况下它们并不是最初的切入点，但该公司最近目睹了旨在利用未修复的漏洞（更具体地讲，是CVE-2020-0688）发布的一个补丁，该攻击旨在破坏Exchange服务器，该补丁已于2007年发布。2020年2月。

攻击者在尝试利用此漏洞之前，必须已经获得了有效的电子邮件凭据才能访问服务器，但显然可以成功地利用它们。

“攻击者的思路：直接登陆服务器，如果服务器的访问级别配置不正确，则可以获取系统特权，” Microsoft Defender ATP研究团队指出。而且，不幸的是，那里仍然有太多面向互联网的未修补Exchange服务器。

攻击链

根据Microsoft的说法，4月是多个活动开始针对Exchange服务器的月份。

获得访问权限后，攻击者继续安装Web Shell，以允许他们远程控制服务器，然后开始探索其环境，以获取有关域用户和组，网络中其他Exchange服务器和邮箱的信息，以及扫描易受攻击者网络上的计算机。

他们通过添加新的用户帐户并提升其特权来在受感染的Exchange服务器上实现持久性，然后从安全帐户管理器（SAM）数据库，本地安全机构子系统服务（LSASS）内存和域控制程序中提取凭据。

他们使用WMI（Windows管理规范）和PsExec（用于远程运行进程的Microsoft工具）来实现横向移动，通过Exchange命令行管理程序命令导出邮箱，创建了一种网络体系结构，该体系结构使他们可以绕过网络限制并通过Remote远程访问计算机。桌面协议（RDP），最后，他们压缩了数据并将其放在可通过Web访问的路径中，以方便提取。

缓解和预防

如这些攻击所示，Exchange服务器是高价值目标。这些攻击也往往是与高级威胁非常避忌，fileless技术”的团队指出。

攻击者还试图禁用安全工具，例如Microsoft Defender Antivirus，档案扫描和自动更新，以增加其隐身性。

定期审核MS Exchange服务器是否存在漏洞，配置错误和可疑活动

定期检查特权较高的组和敏感角色中的用户列表，以发现异常（例如，可疑的添加）

实行最低特权原则，保持凭证卫生，并启用多因素身份验证。

微软自然也将其Microsoft Defender Advanced Threat Protection安全平台称为向Exchange服务器添加保护，自动阻止凭据盗窃和可疑使用PsExec和WMI之类的行为，防止攻击者篡改安全服务并确定警报优先级的一种手段发现攻击之前，它们不会造成太大伤害。