Hôm nay tác giả Phương Nguyễn chia sẽ ae làm hệ thống 1 số khuyến cáo bảo mật để phòng thủ trước sự tấn công xâm nhập của các lỗ hổng máy chủ Exchange Server đình đám vừa qua của Microsoft
Phạm vi ảnh hưởng
- Exchange Server 2010
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Áp dụng các bản vá cập nhật bảo mật mới nhất
Xác định và khắc phục các lỗ hổng hoặc cấu hình sai trong máy chủ Exchange. Triển khai các bản cập nhật bảo mật mới nhất, đặc biệt cho các thành phần máy chủ như Exchange, ngay khi chúng có sẵn. Cụ thể, hãy kiểm tra xem các bản vá cho CVE-2020-0688, đã được cung cấp hay chưa. Sử dụng quản lý mối đe dọa và lỗ hổng để kiểm tra các máy chủ này thường xuyên để tìm các lỗ hổng, cấu hình sai và hoạt động đáng ngờ.
Luôn cập nhật windows server mới nhất
Cập nhật Exchange CU, SU mới nhất
Luôn bật tính năng chống vi-rút và các biện pháp bảo vệ khác
Điều quan trọng là phải bảo vệ máy chủ Exchange bằng phần mềm chống vi-rút và các giải pháp bảo mật khác như bảo vệ tường lửa và MFA. Bật tính năng bảo vệ do đám mây phân phối và gửi mẫu tự động để sử dụng trí tuệ nhân tạo và máy học nhằm nhanh chóng xác định và ngăn chặn các mối đe dọa mới và chưa biết. Sử dụng các quy tắc giảm bề mặt tấn công để tự động chặn các hành vi như trộm cắp thông tin xác thực và sử dụng PsExec và WMI đáng ngờ. Bật các tính năng bảo vệ giả mạo để ngăn những kẻ tấn công dừng các dịch vụ bảo mật.
Nếu bạn lo lắng rằng các kiểm soát bảo mật này sẽ ảnh hưởng đến hiệu suất hoặc làm gián đoạn hoạt động, hãy tham gia với các chuyên gia CNTT để giúp xác định tác động thực sự của các cài đặt này. Các nhóm bảo mật và chuyên gia CNTT nên cộng tác để áp dụng các biện pháp giảm nhẹ và cài đặt thích hợp.
Xem xét các vai trò và nhóm nhạy cảm
Xem xét các nhóm có đặc quyền cao như Quản trị viên, Người dùng Máy tính Từ xa và Quản trị viên Doanh nghiệp. Những kẻ tấn công thêm tài khoản vào các nhóm này để có được chỗ đứng trên máy chủ. Thường xuyên xem xét các nhóm này để biết thêm hoặc loại bỏ đáng ngờ. Để xác định các bất thường cụ thể của Exchange, hãy xem lại danh sách người dùng trong các vai trò nhạy cảm như xuất nhập hộp thư và Quản lý tổ chức bằng cách sử dụng lệnh ghép ngắn Get-ManagementRoleAssignment trong Exchange PowerShell.
Vấn đề truy cập-Restrict access
Thực hành nguyên tắc đặc quyền ít nhất và duy trì vệ sinh thông tin xác thực. Tránh sử dụng các tài khoản dịch vụ cấp quản trị, trên toàn miền. Thực thi mật khẩu quản trị viên cục bộ ngẫu nhiên mạnh mẽ, đúng lúc và Bật MFA. Sử dụng các công cụ như LAPS.
Đặt các hạn chế danh sách kiểm soát truy cập (ACL) trên ECP và các thư mục ảo khác trong IIS. Không hiển thị thư mục ECP lên web nếu nó không cần thiết và cho bất kỳ ai trong công ty không cần truy cập vào nó. Áp dụng các hạn chế tương tự cho các nhóm ứng dụng khác.
Prioritize alerts
Các mẫu đặc biệt của thỏa hiệp máy chủ Exchange hỗ trợ trong việc phát hiện các hành vi độc hại và thông báo cho các nhóm hoạt động bảo mật để nhanh chóng phản ứng với các giai đoạn xâm nhập ban đầu. Chú ý đến và điều tra ngay các cảnh báo chỉ ra các hoạt động đáng ngờ trên máy chủ Exchange. Bắt được các cuộc tấn công trong giai đoạn khám phá, giai đoạn mà những kẻ tấn công dành vài ngày để khám phá môi trường sau khi giành được quyền truy cập, là chìa khóa. Các nhóm ứng dụng phổ biến như ‘MSExchangeOWAAppPool’ hoặc ‘MSExchangeECPAppPool’ thường bị kẻ tấn công chiếm đoạt thông qua triển khai web shell. Ưu tiên các cảnh báo liên quan đến các quy trình như net.exe, cmd.exe và mshta.exe bắt nguồn từ các nhóm này hoặc w3wp.exe nói chung.
Bảo mật theo mô hình level 1 truy cập vật lý->Access control từ phòng server->Máy chủ->Truy cập server->logon dịch vụ Exchange Server, Bảo mật thư mục Exchange,..
Một số ý chia sẽ anh em quản trị hệ thống
Chúc các bạn thành công
Phương Nguyễn