微软周五披露,2022年8月,一个活动组实现了初始访问,并通过将两个新披露的零日漏洞链接在一组针对全球不到10个组织的有限攻击中,从而破坏了Exchange服务器。
“这些攻击安装了Chopper网络外壳,以促进动手键盘访问,攻击者用它来执行Active Directory侦察和数据泄露,”微软威胁情报中心(MSTIC)在一项新的分析中说。
微软进一步警告说,预计这些漏洞的武器化将在未来几天内增加,因为恶意行为者将这些漏洞利用纳入其工具包,包括部署勒索软件,因为“高特权访问Exchange系统授予攻击者”。
这家科技巨头将持续不断的攻击归因于一个国家赞助的组织,并补充说,当零日计划上个月早些时候在2022年9月8日至9日向微软安全响应中心(MSRC)披露这些漏洞时,它已经在调查这些攻击。
这两个漏洞被统称为代理NotShell,因为“它是相同的路径和SSRF / RCE对”与代理外壳,但有身份验证,这表明补丁不完整。
这些问题串联在一起以实现远程代码执行,如下所示 -
- CVE-2022-41040(CVSS 评分:8.8) - 微软 Exchange 服务器特权提升漏洞
- CVE-2022-41082(CVSS 评分:8.8) - 微软 Exchange 服务器远程执行代码漏洞
“虽然这些漏洞需要身份验证,但利用所需的身份验证可能是标准用户的身份验证,”微软表示。“标准用户凭据可以通过许多不同的攻击获得,例如密码喷涂或通过网络犯罪经济购买。
这些漏洞是由越南网络安全公司GTSC于2022年8月首次发现的,这是其针对未命名客户的事件响应工作的一部分。一名中国威胁行为者被怀疑是入侵的幕后黑手。
这一发展正值美国网络安全和基础设施安全局(CISA)将两个微软Exchange服务器零日漏洞添加到其已知漏洞利用漏洞(KEV)目录中,要求联邦机构在2022年10月21日之前应用补丁。
微软表示,它正在制定一个“加速时间表”,以发布针对这些缺点的修复程序。它还发布了以下URL重写缓解步骤的脚本,它说这些步骤“成功地打破了当前的攻击链” -
- 打开 IIS 管理器
- 选择默认网站
- 在“功能视图”中,单击“URL 重写”
- 在右侧的“操作”窗格中,单击“添加规则...”。
- 选择请求阻止,然后单击确定
- 添加字符串“.*自动发现\.json.*\@.*超级外壳.*”(不包括引号)
- 在“使用”下选择“正则表达式”
- 选择“如何阻止”下的“中止请求”,然后单击“确定”
- 展开规则并选择模式为 .*自动发现\.json.*\@.*Powershell.* 的规则,然后单击“条件”下的“编辑”。
- 将条件输入从 {URL} 更改为 {REQUEST_URI}
作为额外的预防措施,该公司敦促公司强制执行多重身份验证(MFA),禁用旧式身份验证,并教育用户不要接受意外的双因素身份验证(2FA)提示。
“微软交易所是威胁行为者可以利用的多汁目标,主要有两个原因,”Qualys恶意软件威胁研究副总裁特拉维斯史密斯告诉黑客新闻。
“首先,交换[...]直接连接到互联网会产生一个攻击面,可以从世界任何地方访问,大大增加了被攻击的风险。其次,Exchange 是一项关键任务功能 - 组织不能在不以负面方式严重影响其业务的情况下拔下或关闭电子邮件。
稿源:TheHackerNews、中文化:游侠安全网
