案例分享 - Exchange設備遭利用ProxyShell漏洞,持續進行暴力破解攻擊

    



Exchange設備遭利用ProxyShell漏洞,持續進行暴力破解攻擊

一、案例故事

        某研究機構(以下簡稱為客戶)於某日下午遭大量外部惡意來源透過ProxyShell的漏洞進行暴力破解攻擊,攻擊者可於ProxyShell置入多組帳號密碼,導致Exchange多個使用者帳號遭鎖定,嚴重影響該客戶運作,該客戶尋求雲智維科技協助,解決問題



解決方法

        使用「雲智維資訊顧問代管代維方案」,收集該客戶中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶內部環境網路、資安問題所在。


該客戶使用「雲智維資訊顧問代管代維方案」,可從Exchange Event Log及IIS Log中找出大量異常不存在帳號登入狀況,嘗試入侵Exchange Web Service(EWS)頁面,以致存在管理權限帳號外洩的風險。

大量外部惡意來源暴力破解Exchange設備


惡意來源多次訪問EWS登入頁面

EWS對外無進行權限訪問限制,導致外部來源皆可造訪該登入頁面



建議改善措施:

  1. 啟動聯防封鎖惡意來源攻擊者。
  2. 定期更新Exchange設備版本。
  3. 客戶因業務需求對外開放Exchange服務,故建議評估後可於相關資安防護設備(如:AP Firewall)設定訪問權限限制。

    三、結論

            該客戶使用「雲智維資訊顧問代管代維方案」,有效解決面臨大量暴力破解攻擊時,導致Exchange大量帳號遭到鎖定,並給予相關建議改善措施,讓企業維運與資安等級更加提升



    這個網誌中的熱門文章

    漏洞分享 - Fortinet 產品存在多個漏洞

    -->

    漏洞分享 - Fortinet 產品存在多個漏洞

    -->

    漏洞分享 - Fortinet 產品存在多個漏洞

    -->

    案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

    -->

    資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

    -->

    漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

    -->

    漏洞分享 - Fortinet 產品存在多個漏洞

    -->

    漏洞分享 - Fortinet 產品多個漏洞

    -->

    漏洞分享 - Fortinet 產品存在多個漏洞

    -->

    漏洞分享 - Fortinet 產品存在多個漏洞

    -->