近日,微软4个严重的0-day漏洞被披露,加剧了人们的担忧。据悉,这4个0-day漏洞分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065。其中,CVE-2021-26855是MicrosoftExchangeServer中的一个SSRF漏洞,未经身份验证的远程攻击者可以通过向易受攻击的ExchangeServer发送特制的HTTP请求来利用该漏洞。CVE-2021-26857是MicrosoftExchange中的一个不安全的反序列化漏洞。具体来说,该漏洞存在于Exchange统一消息服务中,该服务启用语音邮件功能等。要利用此漏洞,攻击者需要向具有管理员权限的易受攻击的ExchangeServer进行身份验证,或者首先利用另一个漏洞。成功利用将授予攻击者任意代码执行权限(SYSTEM)。CVE-2021-26858和CVE-2021-27065都是MicrosoftExchange中的任意文件写入漏洞。这些缺陷是身份验证后的,这意味着攻击者在利用这些缺陷之前首先需要对易受攻击的ExchangeServer进行身份验证。一旦通过身份验证,攻击者就可以向易受攻击的服务器上的任何路径写入任意内容。安全专家分析发现,利用这些漏洞进行的入侵至少可以追溯到2021年1月。它们最初是针对性攻击,例如间谍目的:攻击者主要针对特定??的电子邮件帐户。在一篇博客文章中,微软将利用这些漏洞归因于一个名为“HAFNIUM”的国家支持的黑客组织。据微软博客称,该组织历来以美国机构为目标,包括“传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智囊团和非政府组织”。然后,在2月的最后一个周末,研究人员注意到远程代码执行显着增加。攻击者正在将Webshell写入磁盘并启动操作以转储凭据、添加用户帐户、窃取ActiveDirectory数据库的副本以及横向移动到其他系统。这些活动的激增进一步加快了补丁发布进程。几天后,微软部署了补丁,而利用该漏洞的攻击继续升级。CheckPoint研究报告了全球数百起针对组织的漏洞利用尝试,在截至3月11日的24小时内,漏洞利用尝试的数量每两到三个小时翻一番。其中,土耳其是受攻击最严重的国家,其次是美国和意大利。研究人员还发现,远不止一个组织在利用这些漏洞。ESET研究人员报告说,至少有十个APT组织已经在使用这些漏洞,其中一些组织在Microsoft补丁发布之前就开始利用它们。自从这些漏洞被发现以来,几乎每天都有关于攻击者扫描并利用这些漏洞的新消息。微软最近报告称,还出现了一种针对受感染的Exchange服务器的新型勒索软件。接下来,我们将深入探讨信息安全防御者在面对此类情况时需要了解的内容:为什么您需要关注威胁态势,打补丁的挑战是什么,以及如何看到妥协迹象以更好地应对威胁帮助您的组织免受威胁。1.防御流行目标根据DomainTools威胁研究员JoeSlowik的说法,MicrosoftExchangeServer在历史上一直是一个有吸引力的攻击媒介,具体取决于对手及其目标。对于任何使用它的组织来说,它都是必不可少的组成部分,而且大多数人都不想丢弃它,但它可能很难管理。从非技术的角度来看,我们必须将Exchange视为一种高可用性、高需求的服务,Slowik说。当然,电子邮件不仅限于员工与员工之间的通信。电子邮件还与订购系统、报告系统和各种其他功能相关联。对于大多数企业来说,任何干扰该服务可用性的事情都不是微不足道的。Slowik解释说,“Exchange是一个有趣的目标,它的价值主要体现在两个方面:一是它作为信息存储库的价值(包括电子邮件形式的敏感信息),二是因为Exchange可以与每台计算机对话在网络上,因此它也可以作为恶意行为者的切入点和实现最终目标的跳板。“当然,Exchange服务器并不总是攻击者的最终目标,已经攻陷目标组织的攻击者可以直接获得域管理员或类似权限。虽然Exchange可能是实现这一目标的有效途径,但大多数攻击者也可能会尝试渗透域控制器,但是,这些Exchange漏洞使得外部入侵者更容易在目标组织中获得广泛的访问权限,这无疑增加了攻击者利用Exchange漏洞的兴趣,同时也加剧了组织对采取行动2.为什么这些漏洞如此危险在这种针对外部可访问的Exchange服务器的攻击中,它可能是一种远程访问邮箱的有效方法,允许攻击者通过破坏管理员帐户(BEC)和凭据网络钓鱼来实施企业电子邮件欺诈.在微软观察到的攻击中,攻击者利用这些漏洞获得初始访问本地Exchange服务器,然后允许访问电子邮件帐户并促进安装其他具有长期网络访问权限的可实现恶意软件。许多人使用远程访问从目标窃取大量数据,尤其是电子邮件。由于每个商业组织都有电子邮件,并且MicrosoftExchange的使用如此广泛,因此这些攻击非常严重。更糟糕的是,这些服务器通常可以在开放的互联网上公开访问,并且可以被远程利用。自3月2日微软发布补丁以来,扫描并利用这些漏洞的攻击者数量猛增。使用ESET追踪威胁的研究人员在超过115个国家/地区发现了5,000多台使用Webshell的唯一服务器,他们报告说至少有十个APT组织正在利用此漏洞定位服务器。3.应用相关补丁敦促组织尽快应用相关安全更新。微软表示,这些漏洞影响ExchangeServer2013、2016和2019版本,MicrosoftExchangeOnline不受这些漏洞的影响。RedCanary的高级威胁主管KatieNickels说:“对于任何组织而言,最明显的建议是确保他们运行的是最新版本的MicrosoftExchangeServer。特别是,他们必须确保已安装补丁针对CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065漏洞。》微软已经发布了一篇关于这些安全更新的博文,并回答了补丁安装的基本问题。据了解,补丁只能安装在运行最新版本的服务器上。如果企业运行的是较旧的Exchange服务器,那么建议先安装最新版本,再安装安全更新。对于那些仍在运行旧版本Exchange的微软用户,微软发布了一系列Exchange服务器安全更新,可用于一些较旧和不受支持的版本。这是为了保护旧版本当攻击加剧时,ExchangeServer的版本。由于利用这些漏洞需要通过Internet访问HTTP,因此建议用户首先在在线暴露的Exchange服务器上安装更新,例如发布OutlookWebAccess(OWA)服务器,以及然后更新环境的其余部分。4.ExchangeServer如何解决修补问题很容易告诉组织需要打补丁,但对于许多组织来说,完成它很复杂——尤其是当它们与ExchangeServer不兼容时。更新不合适。补丁更新过程有很多困难,Exchange也是一个非常贪心的服务。尝试使用EDR产品和其他类型的监控和可见性来运行Exchange往往会变得非常昂贵和占用大量资源。如果您尝试调试并应用某种补丁,并在将影响降至最低的同时重新启用服务……那将是一件非常困难的事情。诚然,打补丁并非不可能,但这就是大型组织通常拥有专门的Exchange管理员的方式。没有这些资源的小型企业将面临更艰难的时期,因为这些漏洞正在影响各种规模的组织。对于无法立即修补其系统的企业组织,Microsoft发布了临时缓解控制以限制漏洞利用:创建Internet信息服务(IIS)重写规则、禁用统一消息服务以及禁用多个IIS应用程序池。RedCanary研究人员指出,这些措施可能会影响内部和外部Exchange服务的可用性,具体取决于所使用的组织功能。虽然这种临时缓解措施很有用,但管理员不应将其视为永久解决方案。组织需要意识到,未打补丁的服务器连接到网络的时间越长,受到威胁的风险就越大。尽管它很重要,但不幸的是,许多组织仍然没有应用补丁来修复漏洞。5.损害可能已经造成修补对于防止攻击是必要的,但我们无法告诉管理员他们是否已经受到损害——更不用说解决正在进行的攻击了。如果Exchange服务器未打补丁并暴露在Internet上,企业应假设它们已受到威胁并立即检查攻击活动。Exchange攻击事件从1月初开始,到补丁发布前,攻击者有整整两个月的时间寻找目标并进行入侵活动。在这两个月的时间里,几乎没有人知道问题的存在。如果你是一个有吸引力的目标,那么缺点就很明显了。这意味着你不仅要调查过去几天甚至一周发生的事情,甚至要追溯到过去几个月。在识别环境中的所有本地MicrosoftExchangeServer实例后,FBI和网络安全与基础设施安全局(CISA)建议具有专业知识的组织可以使用收集工具对攻击组件进行取证分类,以收集系统内存、系统Web日志、Windows事件日志和所有注册表配置单元。然后,他们应该检查这些攻击组件是否存在IOC或异常行为,例如凭据转储。除此之外,还应该检查可疑进程和系统行为,尤其是在IIS和Exchange应用程序进程的上下文中,例如PowerShell、Commandshell和在应用程序地址空间中执行的其他程序。6.寻找妥协迹象安全公司RedCanary报告说,研究人员观察到的大多数攻击都涉及将Webshell加载到文件系统上。一些攻击者将其用于持久性和其他后续活动。因此,建议企业组织对WebShell进行监控和防御,以便应对这一特定威胁以及未来可能发生的威胁。Webshell是一个非常棘手的安全问题,因为它们滥用服务器的固有特性来侦听和接收通过HTTP或HTTPS进行的远程通信。对于需要访问的服务,不能简单地阻塞这些服务及其连接。Webshell很难检测和根除,除非您完全控制给定的Web服务器并执行诸如跟踪文件写入各种可访问目录之类的操作。通过洞察和观察对外暴露服务的正常行为,更容易发现异常行为。Exchange是一个服务器,作为服务器,它接收和响应来自各种客户端的通信。但是,如果您看到网络流量从电子邮件服务器流向桌面或域控制器,这很奇怪,必须进一步调查。连接到这些植入的webshell的web服务器日志中的任何不熟悉的活动都是问题的明确标志,用户权限或管理员用户行为的任何变化也可能是对防御者的预警信号。跟踪此类活动的最有效方法是从外部验证漏洞,寻找这些危害指标并监控服务器上的网络活动。7.减少攻击面由于大多数“后开发”活动实例涉及webshell部署,“预补丁”缓解策略可以消除)HTTPS从Internet直接访问Exchange。虽然这会限制访问OWA等服务的便利性,但组织可以通过虚拟网络或其他门户访问这些服务,从而减少攻击面。总的来说,将OWA和其他面向外部的服务放在虚拟网络后面可以帮助减少攻击面,因为它可以使恶意行为(例如尝试暴力破解或重用密码)更加困难。当然,这只是减少了攻击面,并没有消除它。因为如果黑客知道只需要一个钓鱼技巧就可以进入目标环境,然后利用系统权限弹出Exchange,这种情况下,如果你是在本地运行Exchange的话,攻击者是非常容易实现的全面的网络入侵。8.为事件响应和缓解做好准备鉴于攻击形势的日益严重,预计越来越多的组织将需要过渡到事件响应和缓解模型。SophosManagedThreatResponse高级主管MatGangwer表示,如果发现任何异常或可疑活动,组织首先需要确定其暴露程度,以确定下一步该怎么做。您需要知道该活动可能进行了多长时间或产生了何种影响。webshell出现和补丁发布之间的时间差是多少?一些组织可能会启动内部调查,而其他组织可能会寻求外部事件响应团队的支持。CISA官员建议,在收集相关入侵组件、日志和数据进行进一步分析后,组织可以考虑获得第三方支持并执行缓解措施,以避免让攻击者知道他们的踪迹已经暴露。这位官员说,第三方组织可以在整个响应过程中帮助提供专业知识和技术支持,确保将攻击者从网络中移除,并避免在事件结束后可能导致后续危害的任何残留问题。事件响应中存在几个常见错误:未能保留关键日志数据,未能在响应者恢复数据之前缓解受影响的系统,以及仅进行表面修复,而不是完整修复。您如何知道何时应对事件?就目前的网络状况而言,企业组织不能坐等问题出现,而应该立即行动起来,在网络中寻找问题,一旦发现任何迹象就开始进行更深入的检测。要知道,抢在攻击之前一步并设法缩短攻击者潜伏在网络上的时间将是问题的症结所在。越早发现问题,就越容易做出响应。本文翻译自:https://www.darkreading.com/threat-intelligence/microsoft-exchange-server-attacks-9-lessons-for-defenders/d/d-id/1340400?image_number=2如有转载,请注明原文地址。
