„ProxyLogon” támadások: A Microsoft Safety Scannert is használhatjuk az ismertté vált kártevők eltávolításra

 

A Microsoft múlt héten információkat közölt négy, MS Exchange szervereket érintő nulladik napi sebezhetőségről, amelyekre az IT-biztonsági közösség azóta összefoglaló néven „ProxyLogon”ként hivatkozik. Ezekkel kapcsolatban már akkor tudni lehetett, hogy kiberfenyegetési szereplők a hibák kihasználását célzó támadásokba kezdtek, szerencsére azonban gyártói hibajavítás már elérhető a sebezhetőségek megszüntetésére. A Microsoft emellett frissítette beépített védelmi szoftverének (Microsoft Defender) szignatúra adatbázisát is, így az már képes felismerni az Exchange szerverek ellen alkalmazott eddigi web shell malware-eket. A Microsoft azon vállalkozásokra is gondolt, amelyek nem a tech óriás védelmi szoftverét használják, ugyanis ingyenes kártevő-eltávolító eszköze (Microsoft Safety Scanner, vagy korábbi nevén Microsoft Support Emergency Response Tool – MSERT) is frissítésre került. Fontos tudnivaló azonban, hogy az MSERT nem egy valósidejű védelmet nyújtó, teljes értékű vírusvédelmi megoldás, hanem egy eseti rendszervizsgálatok végzésére alkalmas kártevő-eltávolító eszköz. Ennek megfelelően nem is karanténozza a fertőzött fájlokat, hanem automtikusan törli azokat. Amennyiben nem szeretnénk egyből eltávolítani a fertőzött állományokat, használhatjuk a lett CERT által készített detektáló szkriptet, vagy kutathatunk indikátorok után az OWA logok között is.

(Az NBSZ NKI vontkozó riasztását az Intézet weboldalán itt találja; az NSA web shell malware-ek észleléséről és a fertőződés lehetséges megelőzéséről  pedig itt olvashat bővebben.)

(bleepingcomputer.com)