微软敦促客户保护本地 Exchange 服务器

admin 2023年1月30日00:44:23评论30 views字数 1425阅读4分45秒阅读模式

微软敦促客户保护本地 Exchange 服务器

微软敦促客户保持其Exchange服务器更新,并采取措施加强环境,例如启用Windows扩展保护和配置PowerShell序列化有效负载的基于证书的签名。“希望利用未打补丁的Exchange服务器的攻击者不会消失,”这家科技巨头的Exchange团队在一篇文章中表示。 “

未打补丁的本地Exchange环境有太多方面,对于希望泄露数据或实施其他恶意行为的不良行为者来说很有价值。微软还强调,该公司发布的缓解措施只是一个权宜之计,它们可能“不足以抵御所有攻击变体”,因此用户必须安装必要的安全更新来保护服务器。

近年来,Exchange Server已被证明是一种有利可图的攻击媒介,该软件中的许多安全漏洞被武器化为零日入侵系统。

仅在过去两年中,Exchange Server中就发现了几组漏洞 - 包括ProxyLogon,ProxyOracle,ProxyShell,ProxyToken,ProxyNotShell和称为OWASSRF的ProxyNotShell缓解绕过 - 其中一些已经在野外被广泛利用。

Bitdefender在本周发布的一份技术咨询中将Exchange描述为“理想目标”,同时还记录了自2022年<>月下旬以来涉及ProxyNotShell / OWASSRF漏洞利用链的一些真实攻击。“[在Exchange中]有一个复杂的前端和后端服务网络,遗留代码提供向后兼容性,”Bitdefender的Martin Zugec指出。“后端服务信任来自前端 [客户端访问服务] 层的请求。”

另一个原因是多个后端服务作为Exchange Server本身运行,具有SYSTEM权限,并且这些漏洞可以授予攻击者对远程PowerShell服务的恶意访问,从而有效地为执行恶意命令铺平了道路。为此,将ProxyNotShell和OWASSRF漏洞武器化的攻击针对的是位于奥地利,科威特,波兰,土耳其和美国的艺术和娱乐,咨询,法律,制造,房地产和批发行业。“这些类型的服务器端请求伪造(SSRF)攻击允许对手从易受攻击的服务器向其他服务器发送精心编制的请求,以访问否则无法直接访问的资源或信息,”罗马尼亚网络安全公司表示。

据说大多数攻击都是机会主义的,而不是集中和有针对性的,感染最终导致试图部署Web shell和远程监控和管理(RMM)软件,如ConnectWise Control和GoTo Resolve。

Web shell不仅提供了持久的远程访问机制,而且还允许犯罪分子进行广泛的后续活动,甚至将访问权限出售给其他黑客组织以获取利润。

在某些情况下,用于托管有效负载的暂存服务器受到Microsoft Exchange服务器本身的破坏,这表明可能已应用相同的技术来扩大攻击的规模。还观察到对手下载Cobalt Strike以及代号为GoBackClient的基于Go的植入物,该植入物具有收集系统信息和生成反向外壳的功能,但没有成功。

滥用Microsoft Exchange漏洞也是古巴(又名COLDDRAW)勒索软件运营商UNC2596(又名热带天蝎座)反复采用的策略,其中一次攻击利用ProxyNotShell漏洞利用序列来丢弃BUGHATCH下载器。“虽然最初的感染媒介不断发展,威胁行为者迅速利用任何新机会,但他们的剥削后活动是熟悉的,”Zugec说。“抵御现代网络攻击的最佳保护是深度防御架构。


原文始发于微信公众号(黑猫安全):微软敦促客户保护本地 Exchange 服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月30日00:44:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软敦促客户保护本地 Exchange 服务器http://cn-sec.com/archives/1527959.html

发表评论

匿名网友 填写信息