Exchange受到ProxyShell漏洞攻击,超1900台服务器被黑!

Microsoft交换在攻击中与Proxyshell缺陷;超过1900台服务器被黑了!

美国网络安全和基础设施安全局警告说,利用今年 5 月初修补的最新“ ProxyShell ”Microsoft Exchange 漏洞的主动利用尝试,包括在受感染系统上部署 LockFile 勒索软件。

这些漏洞被标记为 CVE-2021-34473CVE-2021-34523CVE-2021-31207,使攻击者能够绕过 ACL 控制,提升 Exchange PowerShell 后端的权限,有效地允许攻击者执行未经身份验证的远程代码执行。虽然前两者已于 4 月 13 日由微软解决,但 CVE-2021-31207 的补丁已作为 Windows 制造商的 5 月补丁星期二更新的一部分发布。

“利用这些漏洞的攻击者可以在易受攻击的机器上执行任意代码,”CISA说。

在网络安全研究人员通过利用 ProxyShell 攻击链对未修补的 Exchange 服务器进行机会性扫描和利用发出警报后,这一进展发生了一个多星期。

Microsoft交换在攻击中与Proxyshell缺陷;超过1900台服务器被黑了!

ProxyShell 最初是在今年 4 月的Pwn2Own 黑客大赛上展示的,它是 DEVCORE 安全研究员 Orange Tsai 发现的更广泛的三个漏洞利用链的一部分,其中包括 ProxyLogon 和 ProxyOracle,后者涉及两个远程代码执行缺陷,可用于以纯文本格式恢复用户的密码。

研究人员 Kevin Beaumont上周指出: “它们是带有 webshel​​l 的后门盒子,可以丢弃其他 webshel​​l 以及定期调用的可执行文件。”

现在,根据 Huntress Labs 的研究人员的说法,至少有五种不同风格的 web shell被观察到部署到易受攻击的 Microsoft Exchange 服务器上,在 8 月 17 日至 18 日期间报告了 100 多起与漏洞利用相关的事件。 Web shell 授予攻击者远程访问权限到受感染的服务器,但尚不清楚目标是什么或所有缺陷的使用程度。

Huntress Labs 首席执行官凯尔·汉斯洛文 (Kyle Hanslovan)发推文称,迄今为止,在不少于 1900 个未打补丁的 Exchanger 服务器中检测到了 140 多个 web shell ,并补充说“迄今为止受影响的 [组织] 包括建筑制造、海鲜加工商、工业机械、汽车维修店、小型住宅机场等等。”

 

Exchange受到ProxyShell漏洞攻击,超1900台服务器被黑!

极牛网精选文章《Exchange受到ProxyShell漏洞攻击,超1900台服务器被黑!》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15967.html

(27)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年8月21日 下午12:00
下一篇 2021年8月23日 上午10:16

相关推荐

发表评论

登录后才能评论