Microsoft发布了紧急补丁,以解决ExchangeServer中四个以前未公开的安全漏洞。据称,一些威胁行为者正在积极利用这些漏洞来窃取数据。被Microsoft威胁情报中心(MSTIC)描述为“有限且有针对性”,攻击者利用这些漏洞获得对本地Exchange服务器的访问权限,该服务器反过来授予对电子邮件帐户的访问权限,并安装其他恶意软件为长期攻击铺平了道路-term访问受害者的环境。这家科技巨头最初高度自信地将这次活动归因于一个名为“HAFNIUM”的威胁行为者,尽管它当然不排除其他组织也参与其中的可能性。首次讨论该组织的战术、技术和程序(TTP)时,微软将HAFNIUM描述为“老练且相对熟练的攻击者”,主要针对各行各业的美国实体泄露敏感信息,包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织。据信,HAFNIUM通过利用在美国租用的虚拟专用服务器来隐藏其恶意活动来策划其攻击。三个阶段的攻击涉及使用窃取的密码或使用以前未发现的漏洞访问Exchange服务器,然后部署Webshell以远程控制受感染的服务器。攻击链中的最后一个环节利用远程访问从组织的网络中窃取邮箱,并将收集到的数据导出到MEGA等文件共享站点。为了实现这一目标,来自Volexity和Dubex的研究人员发现了多达四个0day漏洞,这些漏洞被用作攻击链的一部分:CVE-2021-26855:ExchangeServer中的服务器端请求伪造(SSRF)漏洞CVE-2021-26857:统一消息服务中的不安全反序列化漏洞CVE-2021-26858:Exchange中的身份验证后文件写入漏洞CVE-2021-27065:Exchange中的身份验证后文件写入漏洞尽管该漏洞影响MicrosoftExchangeServer2013、MicrosoftExchangeServer2016和MicrosoftExchangeServer2019,但微软表示将出于“纵深防御”目的更新ExchangeServer2010。此外,由于最初的攻击需要与Exchange服务器的端口443建立不受信任的连接,该公司指出,组织可以通过限制不受信任的连接或使用虚拟网络将Exchange服务器与外部访问隔离开来缓解此问题。除了强调该漏洞与SolarWinds相关漏洞无关外,微软还表示已将新一波攻击通知相关美国政府机构。但该公司没有详细说明有多少组织成为目标,也没有详细说明攻击是否成功。Volexity指出,入侵始于2021年1月6日左右,并警告说,它已检测到多个MicrosoftExchange漏洞被积极利用,以窃取电子邮件和破坏网络。“虽然攻击者最初似乎只是简单地窃取电子邮件以尽可能逃避检测,但他们最近转向攻击性攻击以获得立足点。”Volexity研究人员JoshGrunzweig、MatthewMeltzer、SeanKoessel、StevenAdair和ThomasLancaster在一篇文章中进行了解释。“从Volexity的角度来看,这种利用似乎涉及多个操作员使用各种工具和方法来转储凭据、横向移动和进一步的后门系统。除了补丁之外,微软高级威胁情报分析师Kevinbeumont还创建了一个nmap插件,可用于扫描网络以查找可能易受攻击的MicrosoftExchange服务器。补丁在每个月的第二个星期二发布,但鉴于这些漏洞的严重性,补丁提前一周发布也就不足为奇了。建议使用易受攻击版本的ExchangeServer的客户立即安装更新以阻止这些攻击。“虽然我们已经迅速响应部署针对Hafnium漏洞的更新,但我们知道许多犯罪集团也会迅速采取行动,对未打补丁的系统进行主动利用。”及时应用已经发布的补丁是针对此类的最佳防御的攻击。》本文翻译自:https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html如有转载请注明原文地址。
