最近几周,Microsoft检测到多起使用0-day漏洞攻击MicrosoftExchange服务器的攻击。其中利用了微软Exchange服务器中的ProxyLogon漏洞,CVE编号为CVE-2021-26855。攻击者可以利用此漏洞绕过身份验证方法并冒充其他用户。在攻击中,攻击者利用该漏洞攻击Exchange服务器,访问邮箱账户,安装其他恶意软件,实现对受害者环境的长期访问。ProxyLogon漏洞概况3月2日,Volexity公开表示,检测到多起利用ProxyLogon漏洞攻击Exchange服务器的案例,最早可追溯到1月3日。ESET表示,不超过10个攻击者利用该漏洞在受害邮件服务器上安装恶意注入,包括Hafnium、Tick、LuckyMouse、Calypso、Websiic和Winnti(APT41)、TontoTeam、ShadowPad、OperaCobaltStrike、Mikroceen和DLTMiner。据ESET数据分析,来自115个国家的5000多台邮件服务器受到此次攻击的影响,涉及政府机构和企业。此外,荷兰漏洞披露研究所(DIVD)周二发布数据称,其发现全球有46000台服务器尚未修复ProxyLogon漏洞。3月2日,微软发布了针对ProxyLogon漏洞的补丁,随后更多人开始分析ProxyLogon漏洞并扫描Exchange服务器。PoC公告3月10日,越南安全研究人员宣布首次利用ProxyLogon漏洞。PoC代码发布在GitHub上,技术分析发布在medium平台上。随后,多名安全研究人员证实了PoC的有效性。Praetorian安全研究人员还逆向了CVE-2021-26855漏洞,并通过识别易受攻击版本的exchangeserver和已打补丁的exchangeserver之间的差异,构建了点对点利用。建议鉴于目前漏洞PoC的公示以及该漏洞被多个黑客??组织利用。现在最好的建议是尽快修补易受攻击的交换服务器。PoC技术细节见:https://www.praetorian.com/blog/reproducing-proxylogon-exploit/https://therecord.media/poc-released-for-microsoft-exchange-proxylogon-vulnerabilities/本文翻译自:https://thehackernews.com/2021/03/proxylogon-exchange-poc-exploit.html
