Microsoft Exchange 0-day 受到攻击威胁 220,000 台服务器

零字-DAY 隐藏在充满 1 和 0 的屏幕中间。”/>缩放 盖蒂图片社 </figure><p>微软上周四证实,其 Exchange 应用程序中存在两个严重漏洞,这些漏洞已经危及多台服务器,并对全球约 220,000 台其他服务器构成严重风险。</p> <p>目前未修补的安全漏洞自 8 月初以来一直被积极利用,当时越南安全公司 GTSC 发现客户网络已感染恶意 webshel​​l,最初的入口点是某种漏洞交换。这个神秘的漏洞利用似乎与 2021 年名为 ProxyShell 的零日交换几乎相同,但客户服务器已针对该漏洞进行了修补,该漏洞被跟踪为 CVE-2021-34473。最终,研究人员发现未知黑客正在利用新的 Exchange 漏洞。</p> Webshel​​l、后门和虚假网站 <p>研究人员在周三发表的一篇文章中写道:“在成功掌握了该漏洞之后,我们记录了攻击以收集信息并在受害者系统中建立立足点。” “攻击团队还使用各种技术在受影响的系统上创建后门,并对系统中的其他服务器进行横向移动。”</p> <p>周四晚上,微软确认这些漏洞是新的,并表示正在努力开发和发布修复程序。新漏洞包括:CVE-2022-41040(服务器端请求伪造漏洞)和 CVE-2022-41082(在攻击者可以访问 PowerShell 时允许远程执行代码)。</p> <p>“目前,Microsoft 意识到有限的针对性攻击会利用这两个漏洞来渗透用户系统,”Microsoft 安全响应中心团队的成员写道。 “在这些攻击中,CVE-2022-41040 可能允许经过身份验证的攻击者远程触发 CVE-2022-41082。”团队成员指出,成功的攻击需要服务器上至少一个邮件用户的有效凭据。</p> <p>该漏洞影响本地 Exchange 服务器,严格来说,不影响 Microsoft 托管的 Exchange 服务。一个巨大的警告是,许多使用微软云产品的组织选择使用本地和云硬件组合的选项。这些混合环境与本地独立环境一样容易受到攻击。</p> <p>对 Shodan 的研究表明,目前有超过 200,000 台本地 Exchange 服务器暴露在 Internet 中,并且有超过 1,000 种混合配置。</p> <img src=
随着时间的推移,本地 Exchange 服务器。
按地理位置划分的本地 Exchange 服务器。
混合 Exchange 服务器。

周三的 GTSC 帖子称,攻击者正在利用第 0 天通过 webshel​​l 感染服务器,webshel​​l 是一种允许他们发出命令的基于文本的界面。这些 webshel​​l 包含简体中文字符,导致研究人员假设黑客能说流利的中文。发布的命令还带有 China Chopper 的签名,这是说中文的威胁行为者常用的 webshel​​l,包括几个高级持续性威胁......

  技术   Oct 1, 2022   0   72  Add to Reading List
Microsoft Exchange 0-day 受到攻击威胁 220,000 台服务器
零字-DAY 隐藏在充满 1 和 0 的屏幕中间。”/>缩放 盖蒂图片社 </figure><p>微软上周四证实,其 Exchange 应用程序中存在两个严重漏洞,这些漏洞已经危及多台服务器,并对全球约 220,000 台其他服务器构成严重风险。</p> <p>目前未修补的安全漏洞自 8 月初以来一直被积极利用,当时越南安全公司 GTSC 发现客户网络已感染恶意 webshel​​l,最初的入口点是某种漏洞交换。这个神秘的漏洞利用似乎与 2021 年名为 ProxyShell 的零日交换几乎相同,但客户服务器已针对该漏洞进行了修补,该漏洞被跟踪为 CVE-2021-34473。最终,研究人员发现未知黑客正在利用新的 Exchange 漏洞。</p> Webshel​​l、后门和虚假网站 <p>研究人员在周三发表的一篇文章中写道:“在成功掌握了该漏洞之后,我们记录了攻击以收集信息并在受害者系统中建立立足点。” “攻击团队还使用各种技术在受影响的系统上创建后门,并对系统中的其他服务器进行横向移动。”</p> <p>周四晚上,微软确认这些漏洞是新的,并表示正在努力开发和发布修复程序。新漏洞包括:CVE-2022-41040(服务器端请求伪造漏洞)和 CVE-2022-41082(在攻击者可以访问 PowerShell 时允许远程执行代码)。</p> <p>“目前,Microsoft 意识到有限的针对性攻击会利用这两个漏洞来渗透用户系统,”Microsoft 安全响应中心团队的成员写道。 “在这些攻击中,CVE-2022-41040 可能允许经过身份验证的攻击者远程触发 CVE-2022-41082。”团队成员指出,成功的攻击需要服务器上至少一个邮件用户的有效凭据。</p> <p>该漏洞影响本地 Exchange 服务器,严格来说,不影响 Microsoft 托管的 Exchange 服务。一个巨大的警告是,许多使用微软云产品的组织选择使用本地和云硬件组合的选项。这些混合环境与本地独立环境一样容易受到攻击。</p> <p>对 Shodan 的研究表明,目前有超过 200,000 台本地 Exchange 服务器暴露在 Internet 中,并且有超过 1,000 种混合配置。</p> <img src=
随着时间的推移,本地 Exchange 服务器。
按地理位置划分的本地 Exchange 服务器。
混合 Exchange 服务器。

周三的 GTSC 帖子称,攻击者正在利用第 0 天通过 webshel​​l 感染服务器,webshel​​l 是一种允许他们发出命令的基于文本的界面。这些 webshel​​l 包含简体中文字符,导致研究人员假设黑客能说流利的中文。发布的命令还带有 China Chopper 的签名,这是说中文的威胁行为者常用的 webshel​​l,包括几个高级持续性威胁......

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow