黑客持续攻击未打漏洞补丁的Microsoft Exchange服务器

攻击者正在积极利用新的漏洞利用链对 Exchange 服务器进行机会性扫描和利用，该漏洞利用影响本地安装的三个缺陷，使其成为今年年初 ProxyLogon 漏洞被大规模利用后的最新漏洞。

远程代码执行缺陷被统称为“ProxyShell”。根据SANS Internet Storm Center 的 Jan Kopriva 执行的 Shodan 扫描，至少有 30,000 台机器受到这些漏洞的影响。

“开始看到针对 Exchange ProxyShell 漏洞的针对我们蜜罐基础设施的疯狂攻击尝试，”NCC Group 的 Richard Warren发推文说，并指出其中一次入侵导致在 /aspnet_client/ 目录中部署了“C# aspx webshel​​l”。

ProxyLogon于 2021 年 3 月上旬修补，是 CVE-2021-26855 的绰号，这是 Exchange Server 中的服务器端请求伪造漏洞，允许攻击者以管理员身份控制易受攻击的服务器，并且可以与另一个帖子链接-authentication 任意文件写入漏洞，CVE-2021-27065，实现代码执行。

这些漏洞曝光微软后漏了嘴对北京发起黑客攻击的操作，利用的弱点打击美国实体在出入穿插了该公司描述为有限的，有针对性的攻击信息的目的。

从那时起，Windows 制造商又修复了其邮件服务器组件中的六个缺陷，其中两个被称为ProxyOracle，它使攻击者能够以明文格式恢复用户的密码。

其他三个问题（称为 ProxyShell）可能会被滥用来绕过 ACL 控制、提升 Exchange PowerShell 后端的权限、有效地对攻击者进行身份验证并允许远程执行代码。微软指出，直到 7 月，CVE-2021-34473 和 CVE-2021-34523 都被无意中遗漏了。

ProxyLogon：

• CVE-2021-26855 – Microsoft Exchange Server 远程代码执行漏洞（3 月 2 日修补）
• CVE-2021-26857 – Microsoft Exchange Server 远程代码执行漏洞（3 月 2 日修补）
• CVE-2021-26858 – Microsoft Exchange Server 远程代码执行漏洞（3 月 2 日修补）
• CVE-2021-27065 – Microsoft Exchange Server 远程代码执行漏洞（3 月 2 日修补）

ProxyOracle：

• CVE-2021-31195 – Microsoft Exchange Server 远程代码执行漏洞（5 月 11 日修补）
• CVE-2021-31196 – Microsoft Exchange Server 远程代码执行漏洞（7 月 13 日修补）

ProxyShell：

• CVE-2021-31207 – Microsoft Exchange Server 安全功能绕过漏洞（5 月 11 日修补）
• CVE-2021-34473 – Microsoft Exchange Server 远程代码执行漏洞（4 月 13 日修补，7 月 13 日发布公告）
• CVE-2021-34523 – Microsoft Exchange Server 提权漏洞（4 月 13 日修补，7 月 13 日发布公告）

其他：

• CVE-2021-33768 – Microsoft Exchange Server 提权漏洞（7 月 13 日修补）

ProxyShell 攻击链的技术细节最初是在今年 4 月的Pwn2Own 黑客竞赛中展示的，上周在Black Hat USA 2021和DEF CON安全会议上，DEVCORE 研究员 Orange Tsai 披露了该攻击链的技术细节。为防止利用企图，强烈建议组织安装 Microsoft 发布的更新。