3月14日,安全研究人员发现了一个针对MicrosoftExchange服务器的新PoC(概念验证漏洞)。可以对该漏洞进行轻微修改,以在ProxyLogon漏洞之上安装一个Webshell,从而影响Exchange服务器。自从Microsoft披露了被积极利用的Exchange安全漏洞(统称为ProxyLogon)以来,管理员和安全研究人员一直在努力保护暴露在Internet上的易受攻击的服务器。3月10日,越南安全研究员NguyenJang宣布首次利用ProxyLogon漏洞。PoC代码发布在GitHub上,技术分析发布在medium平台上。随后,多名安全研究人员证实了PoC的有效性。漏洞分析师警告说,新的PoC很可能会被脚本小子利用。据了解,ProxyLogon实际上是由四个不同的ExchangeServer安全漏洞组成的。NguyenJang创建的PoC程序是一系列CVE-2021-26855和CVE-2021-27065漏洞。虽然PoC程序不能直接用于攻击,但稍加修改就可以用于战斗。“首先,我给出的PoC不能正常运行,会出现很多错误,仅供与读者分享。”张向媒体表示。不过,PoC提供了足够的信息,安全研究人员和攻击者可以利用它来利用针对MicrosoftExchangeServer的功能性RCE漏洞。在PoC发布后不久,Jang收到一封来自微软旗下GitHub的电子邮件,称PoC因违反可接受的使用政策而被撤下。GitHub表示他们撤下了PoC以保护可能被利用的设备。GitHub表示,“PoC攻击程序的披露和传播对安全社区具有教育和研究价值,平台的目标是兼顾这种价值和整个生态系统的安全性,其禁止用户传播的政策正在制定中。积极利用。”针对被利用的漏洞利用。”新的漏洞利用已成为脚本小子的东西,CERT/CC漏洞分析师WillDorman在MicrosoftExchange服务器上测试了该漏洞利用并确认它只需要稍作修改即可工作。他警告说该漏洞是已经在“脚本小子”的范围内。如下图所示,Dorman利用针对MicrosoftExchange服务器的漏洞远程安装Webshell并执行“whoami”命令。Dorman分享的另一张图片显示了该漏洞利用程序将test11.aspxwebshell放置在服务器上的指定位置。NVISO高级分析师兼SANSISC高级处理器DidierStevens也在MicrosoftExchange虚拟机上测试了该漏洞,但在PoC上就没那么幸运了。史蒂文斯说,他针对未打补丁和未更新的Exchange2016版本测试了PoC。但是,如果不调整一些ActiveDirectory设置,PoC仍然无法工作。然而,史蒂文斯表示,本周末发布的PoC中的新信息使他能够使Jang发布的PoC程序起作用,从而在他的MicrosoftExchange服务器上成功实现远程代码执行。Stevens也同意Dorman的评估,即新PoC中披露的信息将使脚本小子更容易创建有效的ProxyLogon漏洞。80,000台Exchange服务器仍然易受攻击根据PaloAltoNetworks的研究,Internet上大约有80,000台易受攻击的MicrosoftExchange服务器。“根据3月8日和11日进行的ExpanseInternet扫描,运行旧版Exchange且无法直接应用最新发布的安全补丁的服务器数量下降了30%以上,从估计的125,000台降至80,000台。微软表示,尽管易受攻击的服务器数量已大幅下降,但仍有许多服务器需要打补丁。”根据RiskIQ的遥测,我们在3月1日看到接近400,000台Exchange服务器存在漏洞。到3月9日,仍有超过100,000台服务器易受攻击。这个数字一直在稳步下降,目前只有大约82,000台需要更新,”微软在一篇博文中表示。这些服务器中有许多是旧版本,没有可用的安全更新。但在3月11日,微软发布了额外的安全更新旧服务器,现在覆盖了95%暴露在网络中的服务器。
