微软确认在有限攻击中针对Exchange Server的零日攻击

admin 2022年11月2日10:28:38安全新闻评论29 views1436字阅读4分47秒阅读模式

Microsoft正在为Microsoft Exchange Server中两个被积极利用的零日漏洞开发补丁。越南网络安全公司GTSC在微软的企业邮件服务器中发现了这些漏洞,分别为CVE-2022-41040和CVE-2022-41082。微软表示,它知道“少量有针对性的攻击”利用了这些漏洞,这些漏洞影响了本地Microsoft Exchange Server 2013、2016和2019版本。由于需要对PowerShell进行身份验证,这些漏洞似乎是2021年被广泛滥用的关键ProxyShell漏洞的不太危险的变体。

微软确认在“有限”攻击中针对Exchange Server的零日攻击

在GTSC最初的安全公告中,研究人员表示,他们在 8 月发现了通过Exchange Server对“关键”基础设施进行的攻击。

第一个漏洞CVE-2022-41040(CVSS 8.8)是服务器端请求伪造(SSRF) 问题。当远程触发启动CVE-2022-41082(CVSS 6.3)时,该错误可能导致远程代码执行(RCE)。

由于漏洞尚未修复,完整的技术细节尚未公布——但预计很快就会出现概念验证(PoC)代码。

GTSC将其调查结果告知趋势科技的零日倡议(ZDI)。在ZDI验证了这些漏洞并联系了微软安全响应中心(MSRC)之后,这家微软巨头证实了该报告并发布了对利用这些漏洞的攻击的分析。

微软指出:“成功利用任何一个漏洞都需要对易受攻击的Exchange Server进行身份验证访问,并且它们可以单独使用。”

不幸的是,所需的身份验证只不过是标准用户。因此,网络犯罪分子可以通过盗窃、凭证填充和暴力攻击来获取这些凭证。

据微软称,全球只有不到10个组织成为可能是“国家资助组织”的目标。

GTSC研究人员表示,有迹象表明一个中国威胁组织正在利用Antsword,这是一个具有Web Shell功能的中国跨平台网站管理套件。

China Chopper是一个Web外壳,显然已被用于执行Active Directory侦察和数据泄露。如果这听起来很熟悉,那么2021年利用Exchange Server零日漏洞的攻击中使用了相同的Web Shell 。这些攻击归因于国家支持的中国威胁组织 HAFNIUM。

安全研究员Kevin Beaumont注意到新漏洞使用的路径与去年的零日漏洞之间存在相似之处,他称之为“ProxyNotShell” 。

发现原始ProxyShell缺陷的Devcore研究员Orange Tsai去年在Black Hat USA(PDF)的一次演讲中表示,基本的路径混淆问题可能会出现更多的ProxyShell变体——这一预测现在已经实现。

Microsoft已发布客户指南,用于在修补补丁时减轻新错误。

该公司敦促客户立即为非管理员禁用远程PowerShell访问。如果启用了Exchange紧急缓解服务(EEMS),则会自动应用进一步的缓解措施。

据这家科技巨头称,Exchange Online客户无需采取任何行动。但是,鉴于Microsoft Exchange Online迁移涉及使用面向Internet的混合Exchange服务器,Beaumont质疑这种说法是否明智。

微软评论说:“随着安全研究人员和网络犯罪分子将已发表的研究成果应用到他们的工具包中并且可以使用概念验证代码,预计类似的威胁和对这些漏洞的整体利用将会增加。”

CISA已将两个零日漏洞添加到已知利用漏洞目录中。


原文始发于微信公众号(郑州网络安全):微软确认在“有限”攻击中针对Exchange Server的零日攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月2日10:28:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  微软确认在有限攻击中针对Exchange Server的零日攻击 http://cn-sec.com/archives/1382226.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: