Exchange受到ProxyShell漏洞攻击，超1900台服务器被黑！

美国网络安全和基础设施安全局警告说，利用今年 5 月初修补的最新“ ProxyShell ”Microsoft Exchange 漏洞的主动利用尝试，包括在受感染系统上部署 LockFile 勒索软件。

这些漏洞被标记为 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207，使攻击者能够绕过 ACL 控制，提升 Exchange PowerShell 后端的权限，有效地允许攻击者执行未经身份验证的远程代码执行。虽然前两者已于 4 月 13 日由微软解决，但 CVE-2021-31207 的补丁已作为 Windows 制造商的 5 月补丁星期二更新的一部分发布。

“利用这些漏洞的攻击者可以在易受攻击的机器上执行任意代码，”CISA说。

在网络安全研究人员通过利用 ProxyShell 攻击链对未修补的 Exchange 服务器进行机会性扫描和利用发出警报后，这一进展发生了一个多星期。

ProxyShell 最初是在今年 4 月的Pwn2Own 黑客大赛上展示的，它是 DEVCORE 安全研究员 Orange Tsai 发现的更广泛的三个漏洞利用链的一部分，其中包括 ProxyLogon 和 ProxyOracle，后者涉及两个远程代码执行缺陷，可用于以纯文本格式恢复用户的密码。

研究人员 Kevin Beaumont上周指出： “它们是带有 webshel​​l 的后门盒子，可以丢弃其他 webshel​​l 以及定期调用的可执行文件。”

现在，根据 Huntress Labs 的研究人员的说法，至少有五种不同风格的 web shell被观察到部署到易受攻击的 Microsoft Exchange 服务器上，在 8 月 17 日至 18 日期间报告了 100 多起与漏洞利用相关的事件。 Web shell 授予攻击者远程访问权限到受感染的服务器，但尚不清楚目标是什么或所有缺陷的使用程度。

Huntress Labs 首席执行官凯尔·汉斯洛文 (Kyle Hanslovan)发推文称，迄今为止，在不少于 1900 个未打补丁的 Exchanger 服务器中检测到了 140 多个 web shell ，并补充说“迄今为止受影响的 [组织] 包括建筑制造、海鲜加工商、工业机械、汽车维修店、小型住宅机场等等。”