紧急情况—在Microsoft Exchange中发现了4个频繁利用的0 day漏洞

安全 漏洞
微软发布了紧急补丁,以解决Exchange Server中此前未公开的四个安全漏洞。

微软发布了紧急补丁,以解决Exchange Server中此前未公开的四个安全漏洞。据称,一些威胁行为者正在积极利用这些漏洞,以期进行数据盗窃。

微软威胁情报中心(Microsoft Threat Intelligence Center,MSTIC)将攻击描述为“有限的和有针对性的”,攻击者利用这些漏洞访问了本地Exchange服务器,进而授予了对电子邮件帐户的访问权限,并为安装其他恶意软件做好了铺垫,以方便长期访问受害者环境。

这家科技巨头最初将此次活动高度自信地归因于一个被称为“铪(HAFNIUM)”的威胁者,当然不排除其他组织也可能参与其中的可能性。

Microsoft首次讨论该团体的策略、技术和程序(TTP),将HAFNIUM描绘为“技术高超和较为熟练的攻击者”,主要针对美国一系列行业中的实体企业以从中泄露敏感信息,包括传染病研究人员、律师事务所、高等教育机构、国防承包商,政策智囊团和非政府组织。

据信,HAFNIUM通过利用美国租用的虚拟私人服务器来策划其攻击,以掩盖其恶意活动。

攻击分为三个阶段,其中包括使用密码被盗或通过使用以前未发现的漏洞来访问Exchange服务器,然后部署Web Shell来远程控制受感染的服务器。攻击链中的最后一个链接利用远程访问从组织网络中窃取邮箱,并将收集到的数据导出到文件共享站点(例如MEGA)。

为了实现这一目标,Volexity和Dubex的研究人员发现了多达四个0day漏洞,它们被用作攻击链的一部分:

  •  CVE-2021-26855:Exchange Server中的服务器端请求伪造(SSRF)漏洞
  • CVE-2021-26857:统一消息服务中的不安全反序列化漏洞
  •  CVE-2021-26858:Exchange中的身份验证后任意文件写入漏洞
  •  CVE-2021-27065:Exchange中的身份验证后任意文件写入漏洞

尽管这些漏洞会影响Microsoft Exchange Server 2013、Microsoft Exchange Server 2016和Microsoft Exchange Server 2019,但微软表示,出于“深入防御”的目的,将要更新Exchange Server 2010。


此外,由于最初的攻击需要与Exchange服务器端口443的不受信任的连接,因此该公司指出,组织可以通过限制不受信任的连接或使用虚拟网络将Exchange服务器与外部访问隔离来缓解此问题。

微软除了强调此次漏洞利用与SolarWinds相关的漏洞没有关联外,还表示已向有关美国政府机构通报了新一波攻击。但该公司没有详细说明有多少组织成为攻击目标,攻击是否成功。

Volexity指出入侵活动大概始于2021年1月6日左右,并警告称它已检测到多个Microsoft Exchange漏洞在野外被积极利用,以用于窃取电子邮件和破坏网络。

“虽然攻击者最初为了尽可能的逃避监测,似乎只是窃取了电子邮件,但他们最近转而积极主动地发动攻击以取得立足之地。”Volexity的研究人员Josh Grunzweig,Matthew Meltzer,Sean Koessel,Steven Adair和Thomas Lancaster在一篇文章中解释说。

“从Volexity的角度来看,这种利用似乎涉及多个操作员,他们使用各种各样的工具和方法来转储凭证、横向移动以及进一步的后门系统。”

除了补丁之外,微软高级威胁情报分析师凯文·博蒙特(Kevin beumont)还创建了一个nmap插件,该插件可用于扫描网络以寻找潜在的易受攻击的Microsoft Exchange服务器。

尽管往常一般在每个月的第二个星期二发布补丁,但考虑到这些漏洞的严重性,此次提前一周发布了补丁也就不足为奇了。建议使用易受攻击版本的Exchange Server的客户立即安装更新,以阻止这些攻击。

微软公司客户安全公司副总裁汤姆·伯特(Tom Burt)说:“尽管我们已经迅速进行应对以部署针对Hafnium漏洞的更新,但我们知道许多犯罪集团也将迅速采取行动,以在系统未打补丁加以积极利用。”“及时应用已经发布的补丁是抵御这种攻击的最佳方法。”

本文翻译自:https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2021-06-09 14:45:50

安全漏洞攻击漏洞

2021-06-09 18:59:48

AI

2022-04-28 09:41:29

Linux 操作系统漏洞Microsoft

2021-01-26 11:16:12

漏洞网络安全网络攻击

2022-05-06 15:58:44

物联网社区物联网应用

2012-05-04 10:53:08

移动应用紧急服务

2020-11-11 12:08:36

iOS 0 day漏洞攻击

2022-05-05 16:49:12

物联网社区应急

2009-12-21 17:18:45

Linux操作系统

2022-01-06 11:49:59

以太坊漏洞安全观察

2021-06-17 10:01:54

APT活动Victory 后门恶意软件

2021-09-26 10:24:42

Windows0 day漏洞

2015-06-29 14:11:30

网络接入无线网络

2012-07-31 09:43:53

2020-07-02 10:03:37

漏洞安全微软

2021-06-02 08:00:57

WebAsyncTas项目异步

2021-05-26 14:36:21

漏洞苹果恶意软件

2021-03-15 09:26:33

漏洞微软攻击

2010-08-12 09:45:05

Exchange微软云计算

2021-04-30 11:25:47

Microsoft物联网漏洞
点赞
收藏

51CTO技术栈公众号