上周六网络安全和基础设施安全机构发布了一个紧急警报威胁演员正在积极利用三个Microsoft交换漏洞 -cve - 2021 - 34473CVE-2021-34523,和CVE-2021-31207.这些漏洞可以被链接在一起以远程在易受攻击的机器上执行任意代码。

这组Exchange漏洞通常被分组为ProxyShell。修复可在2021年5月安全更新微软发布的。(更准确地说,前两个在4月份进行了修补,CVE-2021-31207在5月份进行了修补。)

攻击链

简单地解释了这三种漏洞可以链接在一起,以允许远程攻击者在未括的服务器上运行代码。攻击者使用它们如下:

  • 进入使用CVE-2021-31207,Microsoft Exchange Server安全功能绕过漏洞。漏洞允许远程用户绕过身份验证过程。
  • take使用CVE-2021-34523,一个特权(EOP)漏洞的Microsoft Exchange Server高程。漏洞允许用户提高其权限。
  • 做坏事CVE-2021-34523是一个Microsoft Exchange Server远程代码执行(RCE)漏洞。该漏洞允许经过身份验证的用户在SYSTEM上下文中执行任意代码并写入任意文件。

proxyshell.

Record报告使用了ProxyShell占用约2,000 Microsoft Exchange邮件服务器只需两天。这才能发生组织使用Exchange的内部部署版本的位置,并且系统管理员尚未安装April并修补程序。

我们知道修补困难的原因很多,并且经常慢。鉴于Microsoft Exchange漏洞的噪音水平以来,较高的数量令人惊讶3月.虽然可能被其他警报哭泣的哭泣,但是关于打印休闲运动,HIVEIGHTMARE,PETITPOTAM以及许多其他警报。

勒索制造器

一些研究人员指出,一个名为LockFile的勒索软件组织将ProxyShell与betway必威体育 精装版凯文·博蒙特已经记录了他的Exchange蜜罐如何通过Proxyshell检测到剥削来删除a网斯卡.后来,威胁演员重新审视,启动与洛克菲勒林软件相关的人工制品的分期。对于那些对如何识别他们的服务器是否易受攻击的人,以及有关此攻击中阶段的技术细节,我们强烈建议您阅读Kevin Beaumont的帖子

PetitPotam

在我们指出ProxyShell是如何导致整个网络的勒索软件感染之前,我们应该告诉你更多关于PetiPotam的信息。PetitPotam使威胁行动者能够对域控制器发起NTLM中继攻击。

PetitPotam使用EfsRpcOpenFileRawMicrosoft文件系统加密远程协议(MS-EFSRPC) API的功能。MS-EFSRPC用于远程存储和通过网络访问的加密数据的维护和管理操作。PetitPotam概念验证(PoC)采用中间操纵器(MitM)攻击微软的NTLM认证系统的形式。目标计算机被迫启动一个身份验证程序,并通过NTLM共享其身份验证细节。

由于PetitPotam攻击不是基于漏洞,而是以一种非预期的方式使用合法功能,因此很难在不“破坏东西”的情况下对这种攻击进行修补。此外,停止加密文件系统(EFS)服务并不能防止该技术被利用。(有关缓解的细节,请参阅我们关于betway必威体育 精装版。)

LockFile

记录在案的LockFile攻击主要发生在美国和亚洲,主要针对金融服务、制造、工程、法律、商业服务、旅游和旅游等领域的组织。赛门铁克在一份博客来自LockFile ransomware的赎金笔记与使用的ransomware非常相似LockBitRansomware集团并在其电子邮件地址中引用Conti Gang。这可能意味着那些帮派的成员已经开始了新的操作,或者只是又是所有这些帮派的迹象连接,共享资源和策略

忠告

CISA强烈敦促各组织在其网络上识别易受攻击的系统,并立即应用微软从2021年5月开始的安全更新(该更新修复了所有三个ProxyShell漏洞),以防范这些攻击。

我们要补充一点,您可以查看Petitpotam的缓解建议,并在更新过程中解决这些问题的优先顺序。

保持安全,大家好!