多个政府支持的黑客组织正在利用Microsoft Exchange电子邮件服务器中最近修补的漏洞。
攻击尝试最早是由英国网络安全公司Volexity于周五发现的,今天已被国防部的消息来源确认为ZDNet。
Volexity没有共享利用此Exchange漏洞的黑客组的名称。Volexity没有返回评论请求以获取更多详细信息。
国防部消息人士将黑客组织描述为“所有主要参与者”,但也拒绝提及组织或国家。
MICROSOFT EXCHANGE漏洞
这些由国家发起的黑客组织正在利用Microsoft Exchange电子邮件服务器中的一个漏洞,该漏洞是Microsoft上个月(即2020年2月补丁星期二)修补的。
在CVE-2020-0688的标识符下跟踪了该漏洞。以下是该漏洞的技术详细信息摘要:
- 在安装过程中,Microsoft Exchange服务器无法为Exchange控制面板创建唯一的加密密钥。
- 这意味着过去10年来发布的所有Microsoft Exchange电子邮件服务器都将相同的加密密钥(validationKey和decryptionKey)用于其控制面板的后端。
- 攻击者可以将格式错误的请求发送到包含恶意序列化数据的Exchange控制面板。
- 由于黑客知道控制面板的加密密钥,因此他们可以确保序列化的数据未序列化,从而导致在Exchange服务器后端运行恶意代码。
- 恶意代码以SYSTEM特权运行,从而使攻击者可以完全控制服务器。
微软于2月11日发布了针对该错误的补丁程序,当时它还警告系统管理员尽快安装修补程序,以防将来受到攻击。
近两周什么都没发生。但是,当月末,“零日计划”向微软报告了该漏洞,并发布了一份技术报告,详细说明了该漏洞及其工作方式时,事情发展到了月底。
该报告是安全研究人员的路线图,他们使用其中包含的信息来制作概念验证漏洞,以便他们可以测试自己的服务器,创建检测规则并准备缓解措施。
至少三个的这些验证的概念发现在GitHub [其方式1,2,3 ]。随后是一个Metasploit模块。
就像在许多其他情况下一样,一旦技术细节和概念证明代码公开,黑客也开始关注。
2月26日,即“零日活动计划”报告发布后的第二天,黑客组织开始在Internet上扫描Exchange服务器,并编制以后可能针对的易受攻击服务器的列表。威胁情报公司Bad Packets发现了这种类型的首次扫描。
CVE-2020-0688 mass scanning activity has begun. Query our API for “tags=CVE-2020-0688” to locate hosts conducting scans. #threatintel
— Bad Packets Report (@bad_packets) February 25, 2020
现在,根据Volexity的说法,对Exchange服务器的扫描已变成实际的攻击。
第一个利用此漏洞进行武器化的是APT,即“高级持续威胁”,该术语通常用于描述由国家资助的黑客组织。
但是,其他团体也有望效仿。ZDNet今天早些时候与之交谈的安全研究人员表示,他们预计该漏洞将受到定期针对企业网络的勒索软件帮派的欢迎。
武器化旧的无用的钓鱼凭证
但是,此Exchange漏洞并不是很容易利用。安全专家看不到脚本小子滥用此错误(该术语用于描述低级,不熟练的黑客)。
要利用CVE-2020-0688 Exchange错误,黑客需要Exchange服务器上电子邮件帐户的凭据-脚本小子通常没有的东西。
CVE-2020-0688安全漏洞是所谓的身份验证后错误。黑客首先需要登录,然后运行劫持受害者电子邮件服务器的恶意负载。
专家说,尽管这一限制将使脚本小子们望尘莫及,但它不会阻止APT和勒索软件帮派。
APT和勒索软件帮派经常将大部分时间用于发起网络钓鱼活动,然后他们会获取公司员工的电子邮件凭据。
如果组织对电子邮件帐户实施两因素身份验证(2FA),则这些凭据实际上是无用的,因为黑客无法绕过2FA。
CVE-2020-0688错误使APT最终可以为数月或数年前钓鱼的较旧的受2FA保护的帐户找到目的。
他们可以将任何较旧的凭据用作CVE-2020-0688利用的一部分,而无需绕过2FA,但仍可以接管受害者的Exchange服务器。
A good point in this item: sometimes an APT will obtain some valid passwords for user accounts at a target org, yet not be able to make much immediate use of them due to 2FA being in place. However, it can hang on to those creds and wait patiently for new opportunities to emerge. https://t.co/HzY8CmSepM
— Brian in Pittsburgh (@arekfurt) March 7, 2020
建议在其威胁矩阵上具有“ APT”或“勒索软件”的组织尽快使用2020年2月的安全更新来更新其Exchange电子邮件服务器。
所有Microsoft Exchange Server都被视为易受攻击的,甚至包括已过期的产品(EoL)。对于EoL版本,组织应考虑更新到较新的Exchange版本。如果不能选择更新Exchange服务器,建议公司为所有Exchange帐户强制重置密码。
接管电子邮件服务器是APT攻击的圣杯,因为这使民族国家的团体可以截取和读取公司的电子邮件通信。
APT以前已定位到Exchange服务器。过去曾入侵过Exchange的APT包括Turla(俄罗斯关联组织)和APT33(伊朗组织)。
TrustedSec的博客文章包含有关如何检测是否已通过此bug入侵Exchange服务器的说明。
*编译:Domino
*来自:ZDNET