
微软已经发布了紧急补丁程序,以解决Exchange Server中以前未公开的四个安全漏洞,据称新的中国政府资助的威胁参与者正在积极利用这些漏洞,以期进行数据盗窃。
微软威胁情报中心(MSTIC)将攻击描述为“有限和针对性的”,攻击者利用这些漏洞访问了本地Exchange服务器,进而授予了对电子邮件帐户的访问权限,并为安装其他恶意软件铺平了道路,以方便长期访问受害环境。
这家科技巨头最初将此次活动高度自信地归功于一个名为“威胁者”的威胁者,后者是在中国以外运营的国家资助的黑客团体,尽管它怀疑其他组织也可能参与其中。
Microsoft首次讨论该小组的策略,技术和程序(TTP),将HAFNIUM描绘为“高技能和复杂参与者”,主要将美国的实体选出来,以从一系列行业中泄露敏感信息,包括传染病研究人员,律师事务所,高等教育机构,国防承包商,政策智囊团和非政府组织。
据信,HAFNIUM通过利用美国租用的虚拟专用服务器来策划其攻击,以掩盖其恶意活动。
攻击分为三个阶段,其中包括使用密码被盗或通过使用以前未发现的漏洞来访问Exchange Server,然后部署Web Shell来远程控制受感染的服务器。攻击链中的最后一个链接利用远程访问从组织网络中掠夺邮箱,并将收集到的数据导出到文件共享站点(例如MEGA)。
为了实现这一目标,Volexity和Dubex的研究人员发现了多达四个零时差漏洞,作为攻击链的一部分-
- CVE-2021-26855:Exchange Server中的服务器端请求伪造(SSRF)漏洞
- CVE-2021-26857:统一消息服务中的不安全反序列化漏洞
- CVE-2021-26858:Exchange中的身份验证后任意文件写入漏洞,以及
- CVE-2021-27065:Exchange中的身份验证后任意文件写入漏洞
尽管这些漏洞会影响Microsoft Exchange Server 2013,Microsoft Exchange Server 2016和Microsoft Exchange Server 2019,但微软表示将出于“深入防御”的目的而更新Exchange Server 2010。

此外,由于最初的攻击需要与Exchange服务器端口443的不受信任的连接,因此该公司指出,组织可以通过限制不受信任的连接或使用VPN将Exchange服务器与外部访问分开来缓解此问题。
微软除了强调漏洞利用与与SolarWinds相关的漏洞没有关联外,还表示已向有关美国政府机构介绍了新一波攻击。但是该公司没有详细说明针对多少组织以及攻击是否成功。
Volexity指出入侵活动似乎始于2021年1月6日左右,并告诫它已检测到对多个Microsoft Exchange漏洞的活跃在野外利用,这些漏洞用于窃取电子邮件和破坏网络。
“虽然攻击者最初似乎只是通过窃取电子邮件而在很大程度上逃避了雷达,但他们最近转而发动攻击以取得立足之地,”泛滥研究人员Josh Grunzweig,Matthew Meltzer,Sean Koessel,Steven Adair和Thomas Lancaster解释说。写上去。
“从Volexity的角度来看,这种利用活动似乎涉及多个操作员,他们使用各种各样的工具和方法来转储凭证,横向移动以及进一步的后门系统。”
除了补丁之外,微软高级威胁情报分析师凯文·博蒙特还创建了一个nmap插件,该插件可用于扫描网络以寻找潜在的易受攻击的Microsoft Exchange服务器。
考虑到这些漏洞的严重性,在公司的“补丁星期二”时间表提前一周发布补丁就不足为奇了,该补丁通常在每个月的第二个星期二保留。建议使用易受攻击版本的Exchange Server的客户立即安装更新,以阻止这些攻击。
*编译:Domino
*来自:bleepingcomputer