由于Payload签名漏洞频繁出现,微软敦促客户保护本地Exchange服务器。MicrosoftExchange团队表示,未打补丁的本地Exchange环境经常成为攻击者进行各种恶意攻击的目标,包括数据泄露,并强调微软发布的缓解措施只是权宜之计,可能不足以抵御各种攻击,用户必须安装必要的安全更新来保护服务器。近年来,ExchangeServer已被证明是一个非常有利可图的攻击媒介,它的许多安全漏洞被利用为零日攻击。仅在过去两年中,ExchangeServer中就发现了包括ProxyLogon、ProxyOracle、ProxyShell、ProxyToken、ProxyNotShell和名为OWASSRFProxyNotShell的缓解绕过漏洞在内的几组漏洞,其中一些已在野外被广泛利用。在Bitdefender最近发布的一份技术公告中,记录了自2022年11月下旬以来涉及ProxyNotShell/OWASSRF利用链的一些攻击方式,通过服务器端请求伪造(SSRF)攻击,允许攻击者利用从易受攻击的服务器向其他服务器发送恶意制作的请求服务器访问无法直接获取的资源或信息。以这些漏洞为武器的攻击被用于针对奥地利、科威特、波兰、土耳其和美国的艺术娱乐、咨询、法律、制造、房地产和批发行业。它说,虽然大多数攻击没有重点和针对性,但仍尝试部署网络外壳和远程监控和管理(RMM)软件,例如ConnectWiseControl和GoToResolve。Webshell不仅提供了持久的远程访问机制,还允许攻击者进行范围广泛的后续活动,甚至将访问权出售给其他黑客组织以牟利。
