案例分享 - Exchange設備遭利用ProxyShell漏洞,持續進行暴力破解攻擊
Exchange設備遭利用ProxyShell漏洞,持續進行暴力破解攻擊
一、案例故事
某研究機構(以下簡稱為客戶)於某日下午遭大量外部惡意來源透過ProxyShell的漏洞進行暴力破解攻擊,攻擊者可於ProxyShell置入多組帳號密碼,導致Exchange多個使用者帳號遭鎖定,嚴重影響該客戶運作,該客戶尋求雲智維科技協助,解決問題。
二、解決方法
使用「雲智維資訊顧問代管代維方案」,收集該客戶中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶內部環境網路、資安問題所在。
該客戶使用「雲智維資訊顧問代管代維方案」,可從Exchange Event Log及IIS Log中找出大量異常不存在帳號登入狀況,嘗試入侵Exchange Web Service(EWS)頁面,以致存在管理權限帳號外洩的風險。