Mapping MITRE ATT&CK zu den Microsoft Exchange Zero-Day Exploits

WARUM MAP THE MICROSOFT EXCHANGE EXPLOIT TO MITRE ATT&CK?

Digital Shadows wird diesen Blog weiterhin aktualisieren, wenn neue Details dieser bösartigen Operation auftauchen. In der Zwischenzeit ist es nützlich, das MITRE ATT&CK-Framework den von Microsoft über diese ausgeklügelte Kampagne offengelegten Informationen zuzuordnen, um den Modus Operandi der beteiligten Bedrohungsakteure zu verstehen und Ihr Unternehmen besser vor potenziellen Bedrohungen zu schützen. Lassen Sie uns kurzerausnahmst unsere Kompasse und Abenteuerschuhe packen und mit dieser Orientierungsübung beginnen.

T1595 – Aktives Scannen

Angreifer haben das Internet aktiv durchsucht, um lokale Microsoft Exchange Server-Versionen zu finden, die ungerechtfertigte externe Verbindungen an Port 443 empfangen können. Laut Volexity benötigen die Angreifer nur die externe IP-Adresse oder den Domänennamen eines öffentlich verfügbaren Exchange-Servers, um die Zero-Day-Schwachstellen zu nutzen und unberechtigten Zugriff auf die Zielumgebung zu erhalten. Diese Technik kann nicht leicht gemildert werden, da sie Verhaltensweisen umfasst, die nicht von Sicherheitstools gesteuert werden können. Durch das Anwenden der Microsoft-Patches werden Organisationen jedoch wahrscheinlich nicht ins Visier genommen, da sich die Angreifer wahrscheinlich auf die anfälligen konzentrieren.

T1078 – Gültige Konten

Es gibt zwei Hauptmöglichkeiten, um Zugriff auf einen Microsoft Exchange Server zu erhalten: entweder durch gestohlene gültige Kontoanmeldeinformationen oder durch die Nutzung von Zero-Day-Schwachstellen, um als legitimer und autorisierter Benutzer angezeigt zu werden. CVE-2021-26855 ist eine Serverseitige SSRF-Schwachstelle (SSRF), die es Angreifern ermöglicht, speziell gestaltete HTTP-Anforderungen zu senden und sich als Exchange-Server zu authentifizieren. Diese Sicherheitsanfälligkeit kann aus der Ferne ausgenutzt werden und erfordert keine besonderen Kenntnisse der Zielumgebung. Bei den beobachteten Angriffen wurde diese Sicherheitsanfälligkeit häufig an andere Nulltage angekettet, die es Angreifern ermöglichten, Code als SYSTEM in Exchange auszuführen.

T1072 – Softwarebereitstellung

Die Tools CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 werden ebenfalls genutzt, um Remote Code Execution (RCE) auf Zielsystemen zu ermöglichen. Diese Sicherheitsanfälligkeit nach der Authentifizierung ermöglichte es den Angreifern, eine Datei auf den Serverpfad zu schreiben und zusätzliche böswillige Aktionen auf den Exchange-Servern auszuführen. Diese Funktion kann verwendet werden, um seitlich durch das Netzwerk zu bewegen, wertvolle Informationen zu extrahieren und weitere Malware im System bereitzustellen. In diesem speziellen Szenario wurden Angreifer häufig mithilfe von Webshells gefunden, um weiterhin Zugriff in der Opferumgebung zu erhalten.

T1505.003 – Server-Softwarekomponente: Web-Shell

Laut MITRE können „Gegner Webserver mit Web-Shells hinter die Tür stellen, um dauerhaften Zugriff auf Systeme herzustellen“ – und genau das taten Angreifer bei den beobachteten Operationen. Durch die Bereitstellung von Webshells auf den kompromittierten Servern schaffen die Angreifer einen dauerhaften Weg in das Netzwerk, der es ihnen ermöglicht, eine Reihe von Aktionen auszuführen, einschließlich Diebstahl von Anmeldeinformationen, Datenexfiltration, seitliche Bewegung, Praktische Tastaturaktivität und Bereitstellung zusätzlicher Nutzlasten.

Suchen von Microsoft- und MSI-Motherboard-Treibern

Wussten Sie, dass Sie mit den richtigen Motherboard-Treibern von Microsoft und Spielautomaten auf Ihrem Computer einen echten Wettbewerbsvorteil gegenüber anderen Casino-Besuchern erzielen können? Wenn Sie jemals in einem Casino gespielt haben, wissen Sie, dass das Spielen von Slots sehr lustig und süchtig machen kann, aber auch sehr riskant sein kann. Wenn Sie nicht die richtigen Softwareprogramme auf Ihrem Computer installiert haben, können Sie leicht von einem einzelnen Jackpot-Gewinner abhängig werden, um Ihre Rechnungen zu bezahlen. Aus diesem Grund können Sie mit den richtigen Motherboard-Treibern für Microsoft und Spielautomaten auf Ihrem System längere Zeiträume mit höherer Rentabilität spielen. Stellen Sie sich vor, Sie könnten Ihre Lieblingskasinospiele mehrere Monate oder sogar mehrere Jahre lang spielen, ohne sich um ein Problem bei der Programmierung Ihrer Spielautomaten sorgen zu müssen.

Natürlich hat nicht jeder Computerbenutzer das Glück, die bestmöglichen Motherboard-Treiber für Microsoft und Spielautomaten herunterladen und installieren zu können. Wenn Sie sicherstellen möchten, dass Ihr Computer so reibungslos wie möglich funktioniert, sollten Sie die bestmöglichen Treiber herunterladen. Es gibt viele verschiedene Hersteller, die Motherboard-Treiber für Spielautomaten erstellen. Wenn Sie nicht vorsichtig mahjong 88, können Probleme auftreten. Aus diesem Grund ist es wichtig, einen Qualitätstreiber zu haben, da dadurch verhindert werden kann, dass auf dem Computer Hardwarefehler und andere Probleme auftreten, die Sie für längere Zeit nicht spielen können. Dies kann Ihnen auch dabei helfen, Leistungsprobleme mit Ihrem Spielautomaten beim Spielen zu vermeiden.

Um die besten Motherboard-Treiber für Microsoft und Spielautomaten zu finden, müssen Sie sicherstellen, dass Sie die bestmöglichen herunterladen und installieren können. Sie können das Internet verwenden, um diese Treiber schnell und einfach zu finden. Sie werden feststellen, dass es viele Foren und Blogs gibt, die Menschen gewidmet sind, die von demselben Virus wie Sie gebissen wurden! Diese Personen können Ihnen die bestmöglichen Informationen und sogar einige Tipps zur Optimierung der Leistung Ihres Computers geben, damit Sie das Beste daraus machen können. Sie müssen diese Ressourcen unbedingt nutzen, da sie speziell für Sie entwickelt wurden!