微软公司 周四晚间证实 ,存在两个未修补的 Exchange Server 漏洞,并且它们目前正被未知的攻击者在野外利用。
了这些攻击, 越南网络安全公司 GTSC 的研究人员在 8 月发现 作为对客户威胁事件响应的一部分。 该公司表示,这些漏洞在 8 月初被用来渗透到客户的网络中。
微软安全响应中心表示,它知道“使用这两个漏洞的有限针对性攻击”。 受影响的 Microsoft Exchange Server 版本为 2013、2016 和 2019。
该公司发现第一个漏洞被确定为 CVE-2022-41040,这是一个服务器端请求伪造漏洞,它可能允许攻击者从服务器访问内部网络。 第二个标识为 CVE-2022-41082,允许攻击者在攻击者可以访问 PowerShell 时执行远程代码。
微软补充说,攻击者需要对易受攻击的 Exchange 服务器进行身份验证访问才能触发这些漏洞中的任何一个。
“这两个漏洞似乎是 ProxyShell 的变体——2021 年底披露的一系列漏洞,” Tenable 高级研究工程师 Claire Tills告诉 SiliconANGLE。 “关键区别在于,这两个最新漏洞……都需要身份验证,而 ProxyShell 不需要。 Microsoft 已确认这些漏洞,但目前我们仍在等待补丁。 一旦这些可用,组织应立即部署它们。”
该公司表示,Microsoft Exchange Online 的客户不易受到攻击,无需采取任何行动,但本地客户需要审查其内部系统并 应用修复程序 来阻止暴露的远程 PowerShell 端口。
“我们正在加快发布修复的时间表,”MSRC 团队在谈到漏洞补丁的当前状态时表示。 “在那之前,我们将提供以下缓解和检测指南,以帮助客户保护自己免受这些攻击。”
根据 GTSC 报告,攻击者将这两个漏洞链接起来,以在客户的内部系统中创建后门,首先获得对 Exchange Server 的立足点访问权限,然后使用它来攻击其他服务。
研究人员在 Exchange 服务器上发现了与“China Chopper”客户端签名相匹配的远程访问软件,该软件大多被混淆,中国政府资助的黑客组织通常使用该软件。
ProxyShell 漏洞与过去两年勒索软件团伙 Conti 和 Hive 部署恶意软件对 Microsoft Exchange 的历史攻击有广泛关联。 允许 ProxyShell 的漏洞补丁已于 2021 年 5 月发布,但未打补丁的系统仍导致 接管了 2,000 多台邮件服务器——这是组织保持安全更新的一个很好的理由。 2021 年 8 月的短短两天内
“ProxyShell 过去和现在仍然是 2021 年发布的最受利用的攻击链之一,”Tills 说。
Microsoft Exchange 经常成为攻击者的目标,因为电子邮件服务器托管了大量敏感信息,攻击者可以利用这些信息来攻击员工或进行销售。 它们还位于公司防火墙后面,允许访问内部系统,从而在被检测到之前获得更深入的访问权限。
标签: Exchange