2020年3 月 2 日,微软发布了 Microsoft Exchange Server 2013, 2016 和 2019 紧急安全更新,修复了一个完整的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。
针对微软Exchange Server爆发的零时差漏洞,美国网络安全暨基础机构安全署(CISA)发出第2号紧急指令,要求联邦政府立即清查是否有入侵指针并更新至微软上周释出的修补版本,或立即将Exchange Server从联邦政府网域下线。
通报微软的安全公司Volecity分析,一旦成功使用该漏洞,就会通过Exchange环境植入web shell程序,黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。
该漏洞最早是由专家 Orange Tsai 发现的,他在 2021 年 1 月 5 日向微软报告了这些漏洞。
不过根据外媒 Volexity 的报道,有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。
所以,这些漏洞要么是由两个不同的漏洞研究团队独立发现的,要么就是这些漏洞的信息以某种方式被恶意团伙获得。
2021 年 2 月 28 日开始,不断有 Exchange 用户遭到网络攻击,首先是 Tick,然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明,多名黑客在补丁发布之前就获得了漏洞的细节,这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。
在补丁发布的第 2 天,黑客采取了更加疯狂的攻击,包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。
DLTMiner,是一个已知的挖矿活动,也使用了这个漏洞。
在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被感染 webshell,而实际受感染的服务器数量肯定更多。根据遥测显示, webshell 检测的地理分布情况如下。
涉及的webshell key,居然有orange的标识
28FEB2021
DateModified WebShellKey OriginatingServer
2/28/2021 10:33:14 NO9BxmCXw0JE FIT[…]cal
2/28/2021 10:36:44 orange JTA[…]cal
2/28/2021 10:44:24 NO9BxmCXw0JE NS1[…]net
01MAR2021
DateModified WebShellKey OriginatingServer
3/1/2021 4:25:25 orange Exc[…]CAL
3/1/2021 6:29:17 NO9BxmCXw0JE mar[…]cal
3/1/2021 7:40:44 NO9BxmCXw0JE cow[…]cal
目前二道的情报来源称国内也有受害情况,所以请使用exchange的单位切记更新。
本文始发于微信公众号(二道情报贩子):Exchange补丁发布前后至少有十个APT组织利用漏洞攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论