微软检测到多个零日在有限和有针对性的攻击中,利用攻击Microsoft Exchange Server的本地版本。微软将这些攻击归咎于一个他们称之为铪的组织。
“铪主要针对美国的各个行业,包括传染病研究人员,律师事务所,高等教育机构,国防承包商,政策思维坦克和非政府组织。”
铪袭击团
铪是一种化学性质类似于锆的稀有金属,它是一个新发现的攻击组织,被认为对面向互联网的服务器发动了其他攻击,通常会将数据泄露给文件共享站点.尽管他们使用的是在美国租用的服务器,但据信该组织的总部位于中国(正如大多数安全研究人员会告诉你的那样,归因很难,尤其是涉及国际间谍活动时)。
Exchange服务器
在许多组织中,内部协作依赖于群件解决方案,这些解决方案支持电子邮件、日历、联系人和任务的集中管理。Microsoft Exchange Server是为基于windows的服务器系统提供这种功能的软件。
在这种情况下,攻击者使用其中一个零天漏洞来窃取来自此类服务器的多个用户邮箱的完整内容。
不是一个,而是四个零日
公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。它的目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。这些攻击中使用的CVE(由微软提供描述)是:
- cve - 2021 - 26855:Microsoft Exchange Server远程执行漏洞。此漏洞是攻击链的一部分。初始攻击需要能够使不受信任的连接与Exchange Server端口443进行。
- cve - 2021 - 26857:Microsoft Exchange Server远程执行漏洞。此漏洞是攻击链的一部分。初始攻击需要能够使不受信任的连接与Exchange Server端口443进行。
- cve - 2021 - 26858:Microsoft Exchange Server远程执行漏洞。此漏洞是攻击链的一部分。初始攻击需要能够使不受信任的连接与Exchange Server端口443进行。
- CVE-2021-27065:Microsoft Exchange Server远程执行漏洞。此漏洞是攻击链的一部分。初始攻击需要能够使不受信任的连接与Exchange Server端口443进行。
他们看起来都一样。无聊的你说呢?继续读下去!
攻击链
While the CVE description is the same for the 4 CVE’s we can learn from the report by the security firm that discovered the attacks, Volexity, that CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that was used to steal mailbox content. The Remote Code Execution (RCE) vulnerability CVE-2021-26857 was used to run code under the System account. The other two zero-day flaws — CVE-2021-26858 and CVE-2021-27065 — would allow an attacker to write a file to any part of the server.
这4个漏洞组合了一个强大的攻击链,只需要攻击者找到服务器运行Exchange,以及他们想要提取电子邮件的帐户。在利用这些漏洞以获得初始访问权限之后,Hafnium运算符在受妥协服务器上部署了Web Shell,以获得持久性并进行更多更改。Web Shell可以允许攻击者窃取数据并执行额外的恶意操作。
紧急修补必要
尽管这些漏洞的使用被描述为“有限的”,但既然信息已被公开,我们可能会看到攻击数量的快速上升。尤其是在攻击一开始并不需要大量受害者信息的情况下。
或者,正如微软负责客户安全的副总裁汤姆·伯特所说:
“即使我们迅速努力部署铪爆炸的更新,我们也知道许多国家行动者和犯罪集团将迅速移动,以利用任何未被划分的系统。”
建议Microsoft Exchange Server 2010,Microsoft Exchange Server 2013,Microsoft Exchange Server 2019和Microsoft Exchange Server 2019的用户,立即应用更新以防止这些漏洞,优先考虑外部面对的Exchange服务器。
微软还建议,可以通过“限制不受信任的连接,或通过设置VPN将Exchange服务器与外部访问隔离”来停止攻击的初始阶段,尽管如果使用其他访问方式,攻击链的其他部分仍然可以被利用。
2021年3月4日更新
网络安全和基础设施安全局发布了紧急指令在CISA合作伙伴发现必威客服appMicrosoft Exchange漏洞被积极利用之后本地产品。该指令为在识别其环境中的内部内部Microsoft Exchange服务器的所有实例之后立即为机构提供详细说明。
对于对攻击链更多的技术细节感兴趣的读者,Venoxity发表了一个博客提供了他们调查的细节,漏洞,也包括ioc。
2021年3月5日更新
事实证明cve - 2021 - 26855被命名为漏洞Proxylogon的DevCore于2020年12月发现。他们打电话给它ProxyLogon因为这个漏洞利用了交易所代理建筑和登录机制。在DevCore将Bug汇集在一起进行了可行的预先验证RCE漏洞之后,他们通过MSRC Portal发送了一个咨询并利用Microsoft。可以找到整个时间表这里.
更新3月8日,2021年3月8日
微软发布了扫描Exchange日志文件的更新脚本对于与3月2日披露的漏洞相关的妥协(IOC)的指标,美国网络安全和基础设施安全局(CISA)有发出警告它意识到国内外广泛利用这些漏洞,并强烈建议各组织尽快运行该脚本。
Microsoft还向其独立恶意软件扫描仪添加了定义微软安全扫描器(也称为Microsoft支持紧急响应工具或MSERT),以便它检测web shell。
必威平台APP恶意软件字节检测web shell安装在受威胁的Exchange服务器后门.Hafnium..您可以了解更多有关在我们文章中Exchange Server攻击中使用Web Shell的信息Microsoft Exchange攻击引起了恐慌,因为犯罪分子开始收集shell.
更新2021年3月12日
这些漏洞的滥用具有天空飙升,第一个公开的概念证明(POC)用于GITHOGON缺陷的漏洞已经出现在GitHub上,只能被网站取下。尽管微软的努力,网络犯罪分子已经表现出他们充分利用这个机会的数字。
新形式的赎金软件也进入了混合。昨天开始,通过受损的Exchange服务器部署的新形式的Deakcry进行了检测,这是部署的新形式。当勒索软件仍然未知时,将由Malwarebytes主动检测到Malware.Ransom.Agent.generic。必威平台APP
您可以在文章中阅读更多关于Dearcry Ransomware攻击的信息勒索软件的目标是易受攻击的Microsoft Exchange服务器.
更新2021年3月16日
Microsoft发布了一个新的一键式缓解工具,用于Exchange Server部署。Microsoft Exchange本地缓解工具将帮助您没有专用安全或IT团队应用这些安全更新的客户。这款新工具旨在为不熟悉的补丁/更新过程或尚未应用本地交换安全更新的客户的临时缓解。
细节,A下载链接,用户说明,更多信息可在Microsoft安全响应中心.
更新2021年3月23日
根据国家安全委员会发言人,减缓工具释放后,仍易受群体仍然脆弱的群体下跌45%。
但每天仍有数千起针对这些漏洞的网络攻击,网络犯罪分子以尚未应用补丁的组织为目标,根据ZDNet.
使用这些漏洞添加到恶意软件感染数量是一个令人恐吓的软件变体,称为黑色王国赎金软件。幸运的是,对于受害者来说,它所在每个目录中都是下降赎金笔记。没有观察到真正的加密。
关于在释放修补程序之前,讨论如何在邮政释放之前的大规模攻击是如何开始的。在释放修补必威客服app程序之前,从Microsoft开始抬头的MAPP合作伙伴都在显微镜下。
更新3月25日,2021年3月25日
“黑色王国”勒索软件最终被证明是真正的勒索软件。第一批有一个漏洞,阻止勒索软件加密文件,但后来的版本发挥了作用。
当我们收集到更多有关利用这些漏洞进行攻击的信息时,我们将随时与您联系。
更新2021年4月14日
当您在这里,我们假设您对Exchange更新和修补程序感兴趣。因此,您可能会感谢您了解到Microsoft已发布的漏洞安全更新:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Microsoft再次敦促用户立即修补以保护您的环境。您可以找到更多详细信息交换团队博客.
保持安全,大家好!
注释