Hackers εκμεταλλεύονται γνωστές ευπάθειες στο Microsoft Exchange Server για την ανάπτυξη keylogger malware, στα πλαίσια επιθέσεων που στοχεύουν οντότητες στην Αφρική και τη Μέση Ανατολή.
Η Positive Technologies εντόπισε περισσότερα από 30 θύματα σε κυβερνητικές υπηρεσίες, τράπεζες, εταιρείες πληροφορικής και εκπαιδευτικά ιδρύματα. Οι επιθέσεις χρονολογούνται από το 2021. Τα θύματα βρίσκονταν κατά βάση στις ακόλουθες περιοχές: ΗΑΕ, Κουβέιτ, Ομάν, Νίγηρα, Νιγηρία, Αιθιοπία, Μαυρίκιο, Ιορδανία, Λίβανο, Ρωσία.
Δείτε επίσης: Η Veeam προειδοποιεί για κρίσιμη ευπάθεια στο VBEM
“Το keylogger συνέλεγε τα διαπιστευτήρια λογαριασμού σε ένα αρχείο προσβάσιμο μέσω μιας ειδικής διαδρομής από το Διαδίκτυο“, ανέφερε η εταιρεία σε πρόσφατη έκθεση.
Πώς γίνονται οι επιθέσεις;
Οι επιθέσεις ξεκινούν με την εκμετάλλευση ευπαθειών του ProxyShell (CVE-2021-34473, CVE-2021-34523 και CVE-2021-31207) που επιδιορθώθηκαν από τη Microsoft τον Μάιο του 2021.
Η επιτυχής εκμετάλλευση των ευπαθειών επιτρέπει σε έναν εισβολέα να παρακάμψει τον έλεγχο ταυτότητας, να αποκτήσει περισσότερα προνόμια στο ευάλωτο σύστημα και να πραγματοποιήσει απομακρυσμένη εκτέλεση κώδικα.
Μετά την εκμετάλλευση των ευπαθειών, οι hackers προσθέτουν το keylogger malware στην κύρια σελίδα του server (“logon.aspx”) και εισάγουν κώδικα που συλλέγει τα credentials σε ένα αρχείο προσβάσιμο από το Διαδίκτυο (κάνοντας κλικ στο κουμπί σύνδεσης).
Η Positive Technologies είπε ότι, προς το παρόν, δεν μπορεί να αποδώσει τις επιθέσεις σε κάποια γνωστή ομάδα απειλών.
Δείτε επίσης: Ευπάθεια σε Python package για AI μοντέλα και PDF.js
Για να παραμείνουν προστατευμένοι οι οργανισμοί, πρέπει να ενημερώσουν τα Microsoft Exchange Server instances στην πιο πρόσφατη έκδοση. Επιπλέον, οι διαχειριστές πρέπει να αναζητήσουν πιθανές ενδείξεις παραβίασης στην κύρια σελίδα του Exchange Server, συμπεριλαμβανομένου του clkLgn() function όπου έχει εισαχθεί το keylogger.
“Εάν ο διακομιστής σας έχει παραβιαστεί, εντοπίστε τα δεδομένα του λογαριασμού που έχουν κλαπεί και διαγράψτε το αρχείο όπου αποθηκεύονται αυτά τα δεδομένα από τον hacker“, δήλωσε η εταιρεία. “Μπορείτε να βρείτε τη διαδρομή προς αυτό το αρχείο στο αρχείο logon.aspx“.
Προστασία από ευπάθειες
Η ενημέρωση και η εκπαίδευση του προσωπικού είναι ζωτικής σημασίας. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις καλές πρακτικές για την αποφυγή των επιθέσεων.
Η χρήση προηγμένων λύσεων ασφαλείας, όπως τα συστήματα προστασίας από εισβολές (IPS), τα συστήματα ανίχνευσης εισβολών (IDS) και το λογισμικό antivirus, μπορεί να βοηθήσει στην αντιμετώπιση των επιθέσεων και την προστασία από σφάλματα.
Η εφαρμογή των ενημερώσεων είναι ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία από τα κενά ασφαλείας. Οι επιτιθέμενοι συχνά εκμεταλλεύονται γνωστές ευπάθειες σε παλιότερες εκδόσεις του λογισμικού, για να διανείμουν malware, συμπεριλαμβανομένου του keylogger.
Δείτε επίσης: QNAP QTS: Βρέθηκαν 15 ευπάθειες – Διαθέσιμο PoC exploit για μια από αυτές
Η χρήση πολυπαραγοντικής επαλήθευσης (MFA) μπορεί να προσφέρει μια επιπλέον στρώση προστασίας, καθώς απαιτεί από τους χρήστες να παρέχουν δύο ή περισσότερα στοιχεία επαλήθευσης για να αποδείξουν την ταυτότητά τους.
Τέλος, η δημιουργία και η εφαρμογή μιας πολιτικής ασφαλείας πληροφοριών μπορεί να αποτρέψει την εκμετάλλευση ευπαθειών. Αυτή η πολιτική πρέπει να περιλαμβάνει την προστασία των δεδομένων, την προστασία των συστημάτων και των δικτύων, καθώς και την αντίδραση σε περιπτώσεις παραβίασης της ασφάλειας.
Πηγή: thehackernews.com