微软确认在有限攻击中针对Exchange Server的零日攻击

Microsoft正在为Microsoft Exchange Server中两个被积极利用的零日漏洞开发补丁。越南网络安全公司GTSC在微软的企业邮件服务器中发现了这些漏洞，分别为CVE-2022-41040和CVE-2022-41082。微软表示，它知道“少量有针对性的攻击”利用了这些漏洞，这些漏洞影响了本地Microsoft Exchange Server 2013、2016和2019版本。由于需要对PowerShell进行身份验证，这些漏洞似乎是2021年被广泛滥用的关键ProxyShell漏洞的不太危险的变体。

在GTSC最初的安全公告中，研究人员表示，他们在 8 月发现了通过Exchange Server对“关键”基础设施进行的攻击。

第一个漏洞CVE-2022-41040(CVSS 8.8)是服务器端请求伪造(SSRF) 问题。当远程触发启动CVE-2022-41082(CVSS 6.3)时，该错误可能导致远程代码执行(RCE)。

由于漏洞尚未修复，完整的技术细节尚未公布——但预计很快就会出现概念验证(PoC)代码。

GTSC将其调查结果告知趋势科技的零日倡议(ZDI)。在ZDI验证了这些漏洞并联系了微软安全响应中心(MSRC)之后，这家微软巨头证实了该报告并发布了对利用这些漏洞的攻击的分析。

微软指出：“成功利用任何一个漏洞都需要对易受攻击的Exchange Server进行身份验证访问，并且它们可以单独使用。”

不幸的是，所需的身份验证只不过是标准用户。因此，网络犯罪分子可以通过盗窃、凭证填充和暴力攻击来获取这些凭证。

据微软称，全球只有不到10个组织成为可能是“国家资助组织”的目标。

GTSC研究人员表示，有迹象表明一个中国威胁组织正在利用Antsword，这是一个具有Web Shell功能的中国跨平台网站管理套件。

China Chopper是一个Web外壳，显然已被用于执行Active Directory侦察和数据泄露。如果这听起来很熟悉，那么2021年利用Exchange Server零日漏洞的攻击中使用了相同的Web Shell 。这些攻击归因于国家支持的中国威胁组织 HAFNIUM。

安全研究员Kevin Beaumont注意到新漏洞使用的路径与去年的零日漏洞之间存在相似之处，他称之为“ProxyNotShell” 。

发现原始ProxyShell缺陷的Devcore研究员Orange Tsai去年在Black Hat USA(PDF)的一次演讲中表示，基本的路径混淆问题可能会出现更多的ProxyShell变体——这一预测现在已经实现。

Microsoft已发布客户指南，用于在修补补丁时减轻新错误。

该公司敦促客户立即为非管理员禁用远程PowerShell访问。如果启用了Exchange紧急缓解服务(EEMS)，则会自动应用进一步的缓解措施。

据这家科技巨头称，Exchange Online客户无需采取任何行动。但是，鉴于Microsoft Exchange Online迁移涉及使用面向Internet的混合Exchange服务器，Beaumont质疑这种说法是否明智。

微软评论说：“随着安全研究人员和网络犯罪分子将已发表的研究成果应用到他们的工具包中并且可以使用概念验证代码，预计类似的威胁和对这些漏洞的整体利用将会增加。”

CISA已将两个零日漏洞添加到已知利用漏洞目录中。

原文始发于微信公众号（郑州网络安全）：微软确认在“有限”攻击中针对Exchange Server的零日攻击