Microsoft在Exchange中修补了四个零日漏洞

admin 2021年3月9日01:10:50评论155 views字数 1539阅读5分7秒阅读模式

Microsoft在Exchange中修补了四个零日漏洞

E安全3月9日讯    近日,微软为其Exchange电子邮件服务器的四个零日漏洞发布了紧急软件补丁Exchange电子邮件服务器是企业基础设施中使用最广泛的组件之一。


Microsoft在Exchange中修补了四个零日漏洞

该公司表示,总部位于中国、被其称为Hafnium的集团利用了这些漏洞,该集团正寻求获得对电子邮件系统的持久访问权。微软通常会在每个月的第二个星期二发布Windows和其他产品的补丁程序,但它会例外处理那些被认为特别危险的安全漏洞。


尽管微软将这些攻击描述为“有限的和有针对性的”,但已经有迹象表明,许多其他黑客组织正在发起攻击,以期使速度缓慢的组织措手不及。这些漏洞似乎至少从1月初开始就被利用了。


Microsoft在Exchange中修补了四个零日漏洞


微软负责客户安全与信任的公司副总裁汤姆·伯特在博客中写道,该组织一直将传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织作为攻击目标。


伯特写道:“尽管我们已经迅速部署了针对铪探测的更新,但我们知道,许多国家行为者和犯罪集团将迅速采取行动,利用任何未修补的系统。”


FireEye Mandiant高级副总裁兼首席技术官Charles Carmakal说:“ FireEye已经观察到这些漏洞在野外被利用,我们正在与一些受影响的组织积极合作。” “除了尽快修补补丁程序外,我们建议组织还审查其系统,以获取在部署补丁程序之前可能发生的利用漏洞的证据。”


Microsoft在Exchange中修补了四个零日漏洞


微软表示,Volexity和Dubex两家公司通过对攻击的观察对其分析做出了贡献。Volexity是一家专门从事事件响应和内存分析的计算机取证公司,它详细阐述了在一月份在其两个客户的系统上看到的异常行为。博客文章称,攻击者利用这些漏洞“窃取了多个用户邮箱的全部内容”。


Volexity表示,早在1月6日,它就检测到用户的异常活动,这意味着攻击者已经活跃了至少两个月,但实际可能更久。


微软表示,最新的恶意活动与太阳风供应链攻击无关。美国政府认为,俄罗斯对外情报局渗透了太阳风公司的软件更新基础设施,植入了恶意软件,然后分发给了18000个组织。


这些漏洞只影响Exchange的本地版本,其中一个组织选择宿主应用程序本身。微软的技术顾问表示,这不会影响Exchange online或云计算版本。漏洞为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065。


微软已经发布了危害指标,以便组织可以检查它们是否遭到攻击。此外,它还发布了针对Azure Sentinel和产品检测的高级搜索查询,以及针对Microsoft Defender for Endpoint的查询。


微软详细说明了攻击者是如何获得电子邮件权限的。该组织将通过窃取的密码或新披露的漏洞访问一台Exchange服务器,该小组将在服务器上放置一个web shell,允许持久访问。微软表示,该组织将命令shell在窃取数据时使用美国境内的虚拟私人服务器来掩盖恶意活动。


此外,Volexity还指出了交易所以外的更大风险。在多个组织中,该公司观察到CVE-2021-26855与目标Exchange服务上的另一个远程执行漏洞链接在一起。



注:本文由E安全编译报道,转载请注原文地址 

https://www.easyaq.com

推荐阅读:



稿件合作  15558192959

  小E微信号:Eanquan0914



Microsoft在Exchange中修补了四个零日漏洞

喜欢记得打赏小E哦!


Microsoft在Exchange中修补了四个零日漏洞

我就知道你“在看”
Microsoft在Exchange中修补了四个零日漏洞


本文始发于微信公众号(E安全):Microsoft在Exchange中修补了四个零日漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月9日01:10:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Microsoft在Exchange中修补了四个零日漏洞http://cn-sec.com/archives/284655.html

发表评论

匿名网友 填写信息