【安全圈】Microsoft Exchange服务器仍然打开以积极利用漏洞

  • A+
所属分类:安全新闻

【安全圈】Microsoft Exchange服务器仍然打开以积极利用漏洞

尽管微软几乎在八个月前发布了补丁,但61%的Exchange服务器仍然易受攻击。

超过一半的公开Exchange服务器仍然容易受到严重漏洞的攻击,该漏洞允许经过身份验证的攻击者以系统权限远程执行代码--甚至在Microsoft发布修补程序8个月后。

所涉漏洞(CVE-2020-0688)存在于Exchange的控制面板、Microsoft的邮件服务器和日历服务器中。该漏洞源于服务器未能在安装时正确创建唯一密钥,该漏洞是Microsoft的二月补丁星期二更新-和三月份的管理员被警告了未修补的服务器在野外被未命名的高级持久性威胁(APT)参与者利用。

然而,新的遥测发现,在433,464台面向互联网的Exchange服务器中,至少61%的Exchange 2010、2013、2016和2019服务器仍然容易受到该漏洞的影响。

研究人员警告在三月的一次咨询中未修补的服务器在野外被未命名的APT参与者利用。攻击第一次开始于2月底并针对“众多受影响的组织”,研究人员说。他们观察到攻击者利用该漏洞运行系统命令进行侦察,部署webshell后门,并执行内存中的框架,事后利用。

四月,Rapid 7的研究人员发现,超过80%的服务器易受攻击;在433,464台面向互联网的Exchange服务器中,至少357,629台服务器存在漏洞(截至3月24日)。研究人员使用扫描工具ProjectSonar来分析面向互联网的Exchange服务器,并找出易受此缺陷影响的漏洞。

卖方敦促管理员核实是否已经部署了更新。他说,最可靠的方法是检查补丁管理软件、漏洞管理工具或主机本身,以确定是否已安装了适当的更新。

“CVE-2020-0688的更新需要安装在任何启用了Exchange控制面板(ECP)的服务器上,”他说。“这通常是具有客户端访问服务器(CAS)角色的服务器,您的用户将在其中访问OutlookWebApp(OWA)。”

【安全圈】Microsoft Exchange服务器仍然打开以积极利用漏洞

在进行中的活动中,管理员还应确定是否有人试图利用其环境中的漏洞。Sellers在修补服务器和未修补服务器上测试了Windows事件日志和IIS日志(其中包含HTTP服务器API内核模式缓存命中)中留下的日志构件的攻击代码:“此日志条目将包括受损的用户帐户,以及包含文本无效ViewState的非常长的错误消息,”他说。

Sellers说,管理员还可以检查IIS日志中对/ECP下路径的请求(通常是/ECP/default.aspx),这些日志应该包含String__ViewState和_VIEWSTATEGENERATOR--并且在请求的中间有一个长字符串,该字符串是利用负载的一部分。

他说:“您将在日志条目的末尾看到受损帐户名的用户名。”“在尝试利用漏洞之前快速检查日志条目时,应该显示对/wa下的网页的成功请求(HTTP代码200),然后是/ecp下的请求。”

猜你喜欢  

【安全圈】苹果服务器全球宕机:iCloud、Apple Music 等服务中断

【安全圈】外交部:中国遭受境外网络攻击持续增加

【安全圈】黑客可利用 Instagram的漏洞进行远程攻击

【安全圈】微软更新造成Office 365等多个在线服务中断!

【安全圈】Google搜索结果可传播Mac恶意软件

【安全圈】阿塞拜疆屏蔽流行社交平台

【安全圈】大理一区域通信中断11小时,疑因创卫清理组剪断光缆所致

【安全圈】KuCoin加密货币交易所被黑 损失1.5亿美元

【安全圈】美国网络安全与基础设施安全局网站遭黑客入侵

【安全圈】苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码

【安全圈】知名企业的工控设备存在高危漏洞

【安全圈】世界顶级黑客赛事决赛即将开启

【安全圈】日本七大电子支付品牌连发盗刷事件,涉及十余家银行!

【安全圈】微软必应服务器配置错误泄露用户搜索和位置记录数据

【安全圈】Microsoft Exchange服务器仍然打开以积极利用漏洞

【安全圈】Microsoft Exchange服务器仍然打开以积极利用漏洞
你点的每个赞,我都认真当成了喜欢

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: