紧急情况—在 Microsoft Exchange 中发现了 4 个频繁利用的 0 day 漏洞

CathyHuang

微软发布了紧急补丁，以解决 Exchange Server 中此前未公开的四个安全漏洞。据称，一些威胁行为者正在积极利用这些漏洞，以期进行数据盗窃。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）将攻击描述为 " 有限的和有针对性的 "，攻击者利用这些漏洞访问了本地 Exchange 服务器，进而授予了对电子邮件帐户的访问权限，并为安装其他恶意软件做好了铺垫，以方便长期访问受害者环境。

这家科技巨头最初将此次活动高度自信地归因于一个被称为 " 铪（HAFNIUM）" 的威胁者，当然不排除其他组织也可能参与其中的可能性。

Microsoft 首次讨论该团体的策略、技术和程序（TTP），将 HAFNIUM 描绘为 " 技术高超和较为熟练的攻击者 "，主要针对美国一系列行业中的实体企业以从中泄露敏感信息，包括传染病研究人员、律师事务所、高等教育机构、国防承包商，政策智囊团和非政府组织。

据信，HAFNIUM 通过利用美国租用的虚拟私人服务器来策划其攻击，以掩盖其恶意活动。

攻击分为三个阶段，其中包括使用密码被盗或通过使用以前未发现的漏洞来访问 Exchange 服务器，然后部署 Web Shell 来远程控制受感染的服务器。攻击链中的最后一个链接利用远程访问从组织网络中窃取邮箱，并将收集到的数据导出到文件共享站点（例如 MEGA）。

为了实现这一目标，Volexity 和 Dubex 的研究人员发现了多达四个 0day 漏洞，它们被用作攻击链的一部分：

·

CVE-2021-26855：Exchange Server 中的服务器端请求伪造（SSRF）漏洞

·

CVE-2021-26857：统一消息服务中的不安全反序列化漏洞

·

CVE-2021-26858：Exchange 中的身份验证后任意文件写入漏洞

·

CVE-2021-27065：Exchange 中的身份验证后任意文件写入漏洞

尽管这些漏洞会影响 Microsoft Exchange Server 2013、Microsoft Exchange Server 2016 和 Microsoft Exchange Server 2019，但微软表示，出于 " 深入防御 " 的目的，将要更新 Exchange Server 2010。

此外，由于最初的攻击需要与 Exchange 服务器端口 443 的不受信任的连接，因此该公司指出，组织可以通过限制不受信任的连接或使用 VPN 将 Exchange 服务器与外部访问隔离来缓解此问题。

微软除了强调此次漏洞利用与 SolarWinds 相关的漏洞没有关联外，还表示已向有关美国政府机构通报了新一波攻击。但该公司没有详细说明有多少组织成为攻击目标，攻击是否成功。

Volexity 指出入侵活动大概始于 2021 年 1 月 6 日左右，并警告称它已检测到多个 Microsoft Exchange 漏洞在野外被积极利用，以用于窃取电子邮件和破坏网络。

" 虽然攻击者最初为了尽可能的逃避监测，似乎只是窃取了电子邮件，但他们最近转而积极主动地发动攻击以取得立足之地。"Volexity 的研究人员 Josh Grunzweig，Matthew Meltzer，Sean Koessel，Steven Adair 和 Thomas Lancaster 在一篇文章中解释说。

" 从 Volexity 的角度来看，这种利用似乎涉及多个操作员，他们使用各种各样的工具和方法来转储凭证、横向移动以及进一步的后门系统。"

除了补丁之外，微软高级威胁情报分析师凯文 · 博蒙特（Kevin beumont）还创建了一个 nmap 插件，该插件可用于扫描网络以寻找潜在的易受攻击的 Microsoft Exchange 服务器。

尽管往常一般在每个月的第二个星期二发布补丁，但考虑到这些漏洞的严重性，此次提前一周发布了补丁也就不足为奇了。建议使用易受攻击版本的 Exchange Server 的客户立即安装更新，以阻止这些攻击。

微软公司客户安全公司副总裁汤姆 · 伯特（Tom Burt）说：" 尽管我们已经迅速进行应对以部署针对 Hafnium 漏洞的更新，但我们知道许多犯罪集团也将迅速采取行动，以在系统未打补丁加以积极利用。"" 及时应用已经发布的补丁是抵御这种攻击的最佳方法。"