攻击者正在积极利用新的漏洞利用链对 Exchange 服务器进行机会性扫描和利用,该漏洞利用影响本地安装的三个缺陷,使其成为今年年初 ProxyLogon 漏洞被大规模利用后的最新漏洞。
远程代码执行缺陷被统称为“ProxyShell”。根据SANS Internet Storm Center 的 Jan Kopriva 执行的 Shodan 扫描,至少有 30,000 台机器受到这些漏洞的影响。
“开始看到针对 Exchange ProxyShell 漏洞的针对我们蜜罐基础设施的疯狂攻击尝试,”NCC Group 的 Richard Warren发推文说,并指出其中一次入侵导致在 /aspnet_client/ 目录中部署了“C# aspx webshell”。
ProxyLogon于 2021 年 3 月上旬修补,是 CVE-2021-26855 的绰号,这是 Exchange Server 中的服务器端请求伪造漏洞,允许攻击者以管理员身份控制易受攻击的服务器,并且可以与另一个帖子链接-authentication 任意文件写入漏洞,CVE-2021-27065,实现代码执行。
这些漏洞曝光微软后漏了嘴对北京发起黑客攻击的操作,利用的弱点打击美国实体在出入穿插了该公司描述为有限的,有针对性的攻击信息的目的。
从那时起,Windows 制造商又修复了其邮件服务器组件中的六个缺陷,其中两个被称为ProxyOracle,它使攻击者能够以明文格式恢复用户的密码。
其他三个问题(称为 ProxyShell)可能会被滥用来绕过 ACL 控制、提升 Exchange PowerShell 后端的权限、有效地对攻击者进行身份验证并允许远程执行代码。微软指出,直到 7 月,CVE-2021-34473 和 CVE-2021-34523 都被无意中遗漏了。
ProxyLogon:
- CVE-2021-26855 – Microsoft Exchange Server 远程代码执行漏洞(3 月 2 日修补)
- CVE-2021-26857 – Microsoft Exchange Server 远程代码执行漏洞(3 月 2 日修补)
- CVE-2021-26858 – Microsoft Exchange Server 远程代码执行漏洞(3 月 2 日修补)
- CVE-2021-27065 – Microsoft Exchange Server 远程代码执行漏洞(3 月 2 日修补)
ProxyOracle:
- CVE-2021-31195 – Microsoft Exchange Server 远程代码执行漏洞(5 月 11 日修补)
- CVE-2021-31196 – Microsoft Exchange Server 远程代码执行漏洞(7 月 13 日修补)
ProxyShell:
- CVE-2021-31207 – Microsoft Exchange Server 安全功能绕过漏洞(5 月 11 日修补)
- CVE-2021-34473 – Microsoft Exchange Server 远程代码执行漏洞(4 月 13 日修补,7 月 13 日发布公告)
- CVE-2021-34523 – Microsoft Exchange Server 提权漏洞(4 月 13 日修补,7 月 13 日发布公告)
其他:
- CVE-2021-33768 – Microsoft Exchange Server 提权漏洞(7 月 13 日修补)
ProxyShell 攻击链的技术细节最初是在今年 4 月的Pwn2Own 黑客竞赛中展示的,上周在Black Hat USA 2021和DEF CON安全会议上,DEVCORE 研究员 Orange Tsai 披露了该攻击链的技术细节。为防止利用企图,强烈建议组织安装 Microsoft 发布的更新。
极牛网精选文章《黑客持续攻击未打漏洞补丁的Microsoft Exchange服务器》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15861.html