利用 MS Exchange Server 漏洞在目标攻击中部署键盘记录器

“ 新闻”

看到了，关注一下不吃亏啊，点个赞转发一下啦，WP看不下去的，可以B站搜：标松君，UP主录的打靶视频，欢迎关注。顺便宣传一下星球：重生者安全， 里面每天会不定期更新OSCP备考，车联网，渗透红队以及漏洞挖掘工具等信息分享，欢迎加入；以及想挖SRC逻辑漏洞的朋友，可以私聊。

01

—

新闻

    一个未知的威胁行为者正在利用Microsoft Exchange Server中的已知安全缺陷，在针对非洲和中东实体的攻击中部署键盘记录恶意软件。

    俄罗斯网络安全公司Positive Technologies表示，他们确认了30多名受害者，涉及政府机构、银行、it公司和教育机构。第一次妥协可以追溯到2021年。

    该公司在上周发布的一份报告中表示：“这个键盘记录程序正在将帐户凭据收集到一个文件中，该文件可通过互联网上的特殊路径访问。”。

    被入侵的国家包括俄罗斯、阿联酋、科威特、阿曼、尼日尔、尼日利亚、埃塞俄比亚、毛里求斯、约旦和黎巴嫩。

    攻击链始于利用ProxyShell缺陷（CVE-2021-34473、CVE-2021-24523和CVE-2021-3 1207），这些缺陷最初由微软于2021年5月修补。

    成功利用这些漏洞可以使攻击者绕过身份验证，提升权限，并执行未经身份验证的远程代码执行。开发链是由DEVCORE研究团队的Orange Tsai发现并发表的。

MS Exchange服务器存在缺陷：ProxyShell利用漏洞后，威胁参与者将键盘记录程序添加到服务器主页（“logon.aspx”），此外还将负责捕获凭据的代码注入到单击登录按钮即可从互联网访问的文件中。

    Positive Technologies表示，在没有额外信息的情况下，现阶段无法将袭击归因于已知的威胁行为者或团体。除了将其Microsoft Exchange Server实例更新到最新版本外，还敦促各组织在Exchange Server主页中寻找潜在的妥协迹象，包括插入键盘记录程序的clkLgn（）函数。

    该公司表示：“如果你的服务器被泄露，请识别被盗的账户数据，并删除黑客存储这些数据的文件。”。“您可以在logon.aspx文件中找到该文件的路径。”

更多精彩内容请扫码关注“重生者安全”星球

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

原文始发于微信公众号（道玄网安驿站）：利用 MS Exchange Server 漏洞在目标攻击中部署键盘记录器