Exchangeの脆弱性はまだ悪用されており、Blackhat USA 2021はこれから何が起こるかを強調しています。あなたは何をすべきですか?

Exchangeの脆弱性はまだ悪用されており、Blackhat USA 2021はこれから何が起こるかを強調しています。あなたは何をすべきですか?

それは疲れた年でした オンプレミスとハイブリッドの管理者の交換 残念ながら、それは 簡単にならない.吹き替えのエクスプロイト ハフニウム Microsoft Exchange にスポットライトを当て、電子メールが組織の重要な部分であり、優れた実績を持つ製品でさえターゲットになることは何もできない理由を強調しました。

先週、DevCoreのセキュリティリサーチプロフェッショナルであるOrange Tsaiは、BlackHat USA 2021で、年初にExchange Serverが悪用された基調的な攻撃面について講演しました。HAFNIUMを担う攻撃面は、次のように知られています。 プロキシログオン 他の2つ、として知られている プロキシシェル そして プロキシオラクル。

あなたはこれらについて詳しく読むことができます ツァイのブログ マイクロソフトに報告された個々の CCV と、責任ある開示後にマイクロソフトがリリースした修正プログラムについて説明します。これらの最も重要な ProxyLogon に関する重要な取り扱いは、Exchange Server で完全に修正プログラムを適用している場合、今のところ、合理的に問題なく位置しているということです。

しかし、私はマイケル・ヴァン・ホーレンベック、仲間のMVPとExchangeハイブリッドの専門家、そして現在マイクロソフト365セキュリティスペシャリストと話し合ったように、今では「野生」で起こっている概念実証攻撃があります。これらの攻撃は現在起こっていませんが、セキュリティ研究者や Exchange Server を見つけて悪用しようとしているグループは、すでに何ができるかを模索しています。

続きを読む – ハフニウム・エクスチェンジ・サーバーのエクスプロイト: 交換およびセキュリティの専門家とのQ&A

MVPのスティーブ・グッドマンとマイケル・ヴァン・ホーレンベークは、2021年8月8日日曜日に記録されたライブストリームでExchangeがまだターゲットである方法について話し合います

Tsai による BlackHat USA 2021 セッションとその後のブログの書き上げは、残りのハイブリッド サーバーが 1 つしかない場合でも、オンプレミス環境全体であっても、どの Exchange 管理者にとっても興味深い読み取りとなります。投稿には、ほとんどの Exchange 管理者がよく知っている図と、Exchange Server のさまざまなコンポーネントの他のセキュリティ研究者への説明、および Exchange Server のコンピュータ アカウントが所有するアクセス許可、クライアント アクセス フロントエンドとバックエンドなどの側面、およびそれらのやり取り方法など、Exchange Server の他のコンポーネントの使用方法についての説明が記載されています。

あなたが持っている場合 じゃない Exchange Server アーキテクチャ上の最近のセッションを見ましたが、更新することは悪い考えではありません。それを十分に知っている人にとっては、セキュリティ研究者と悪いアクターの両方の焦点が、Exchange Server がどのように処理し、要求に応答するかを親密なレベルで理解することに時間を費やしていることを読んで心配するかもしれません。

しかし、バランス上、セキュリティ研究者が Exchange Server に焦点を当てていることは非常に肯定的です。これにより、Tsai や他の研究者が今年 1 月に行ったのと同じように、マイクロソフトに責任を持って開示する可能性のある脆弱性が検出される可能性が高くなります。

しかし、今のところ、インターネットに公開されているExchangeサーバーを持っている場合、できるだけ早くそれを悪用しようとしている人々によって見つかる可能性が非常に高いです。特に、最新のセキュリティ更新プログラムに最新のシステムがない場合は、将来同様の脆弱性が見つかる必要があるためです。

元マイクロソフトシニア脅威インテリジェンスアナリストの Kevin Beaumont は、ハニーポット Exchange Server を実行して、どのような種類のアクティビティが発生しているかについての洞察を収集しています。特に同じツールにアクセスできない場合は、彼が共有しているものが興味深いです。

例えば 商談モニター は、インターネットに公開されている EXCHANGE サーバー上のヒートマップを表示する機能を提供します。

また、Azure Sentinel を使用して、危険な可能性がある Exchange サーバーに対して現在どのようなクエリが試行されているかの例を示すこともできます。ケビンのフィードは、何が起こっているのかを積極的に監視し、かなりの数の例を提供し、 彼は役に立つ例を提供する Azure センチネルを使用して脅威の狩猟を行っている人のために彼のGitHubから:

組織を保護するために何ができますか。

ユーザーが Exchange サーバーを積極的にスキャンしていて、攻撃を受ける可能性があることを知ることは、間違いなく気になります。ただし、今後、Exchange を保護するために役立つ計画を立てれば、次に実行できる方法がいくつかあります。マイケルと私は上記のビデオでこれらを議論し、私たちのトップの推奨事項は次のとおりです。

パッチ交換 .潜在的な問題が発生した場合に保留している場合や、外部で公開していないためにリスクではないと考える場合は、何もしないという決定を再考してください。また、適切なセキュリティ更新プログラムを適用して、Exchange に適切なレベルの修正プログラムを適用する必要もあります。マイクロソフトには、以下の手順を実行するためのオンライン ツールがあります。 https://aka.ms/更新ウィザード

ログ記録を増やす.多くの組織では、セキュリティやその他のログに既定のログを使用しています。ログをできるだけ早く保持する時間を増やします。これにより、攻撃された場合に何が起こったのかを理解できます。

想定される違反のメンタリティを採用する.誰かができるビューから始める場合 もう 組織にアクセスできる場合、あなたの考え方は、ドアを閉めたままにしていると仮定している人とは異なります。ダークウェブで資格情報を販売することはそれほど難しくはないし、今日セキュリティツールや多要素認証を展開しても(MFAがあると仮定すると)、組織内の脅威を既に排除できない可能性があります。

不要になった場合に、インターネットへの Exchange の公開を停止する.「なぜExchangeを公開するのか」という疑問を提起するのは当然です。そして、サイバーセキュリティ業界には、まったく同じことを疑問に思う人がたくさんいます。

ただし、さまざまな正当な理由で Exchange Server をインターネットに公開するのが一般的であり、マイクロソフトは Exchange を公開する方法を推奨しており、VPN なしでどこからでも作業できる製品として Exchange を公開することをお勧めします。ただし、主な理由がいくつかあるので、お持ちの場合(または計画している場合)は、次の点を考慮してください。

  • オンプレミスの Exchange Server を実行していて、直接 (または NAT マッピングを介して) 公開する場合、または DMZ 内のロード バランサーの腕を使用して、全体的なアプローチを再検討します。たとえば、KEMP と F5 のロード バランサーには、Web アプリケーション ファイアウォール、事前認証、多要素認証の統合などがあります。

    Exchange Server とハイブリッドモダン認証を統合して、Azure AD サインインをサポートする最新の方法でサインインを保護し、KEMP やその他のロード バランサーの機能を使用して、Azure AD サインインを事前認証方法として使用して外部クライアントからのアクセスを保護することができます。

  • Exchange Online との長期的な共存、またはMicrosoft Teamsの予定表などの機能の使用のために Exchange ハイブリッドを実行している場合は、ハイブリッド機能のために Exchange Server をインターネットに公開する方法を調べます。OAuth 用の Exchange Web サービスや MRSProxy などのエンドポイントを公開し、サービス アクセス用の自動検出を行い、クライアントが Exchange Online を見つけられるようにする場合は、これらのエンドポイントを Exchange の Microsoft 365 推奨 IP アドレス範囲 (およびカレンダー アクセスを使用している場合は Teams) のみにスコープを設定できるかどうかを検討します。

    Outlook の最新バージョンでは、メールボックスが Exchange Online にある場合に自動検出をバイパスできるため、インターネット上の誰でも Exchange Server を使用できるようにする必要がなくなる場合があります。

  • Exchange Online に移行した場合は、Exchange Server を外部から公開する必要はありません。Azure AD 接続が AD をマイクロソフト 365 および Azure AD にリンクしている間は、今日 Exchange サーバーを削除することはできません。 自動検出サービス接続ポイントを AD から削除し、Exchange サーバーの外部への公開を停止できます。

    また、Exchange 管理センターと Exchange PowerShell を使用する主な目的はユーザー アクセスではなく管理用であるため、移行後も Exchange への内部アクセスを禁止する (Exchange とドメイン コントローラの間のファイアウォール規則に対する要件など) いくつかの側面を考慮する必要があります。

あなたのサイバーセキュリティを改善するためのツールとスキルに投資.役員の注意を引くにはインシデントが必要な場合が多いが、Exchangeが危険にさらされているという証拠が多いため、積極的な姿勢を取り、事件を起こす必要があるをクリックして、可能であれば Exchange オンラインに移動します。その場合、組織を攻撃から保護するために、適切なツール、サービス、スキルに適切に投資することが重要です。

ベンダーの選択肢は別として、EDR (エンドポイント検出と応答) ツールと SIEM (セキュリティ情報およびイベント管理) 製品と、それを管理するスキル、またはサービスとして必要な場合があります。

続きを読む: Exchange ハイブリッド移行へのアプローチ方法を再考する必要がある理由




未分類

Posted by admin