国家赞助的黑客可能利用 MS Exchange 0-Days 攻击约 10 个组织

微软周五披露，2022 年 8 月，一个活动组通过在针对全球不到 10 个组织的有限攻击中将两个新披露的零日漏洞链接起来，实现了初始访问并破坏了 Exchange 服务器。

微软威胁情报中心 (MSTIC)在一项新的分析中表示： “这些攻击安装了 Chopper web shell 以促进手动键盘访问，攻击者使用它来执行 Active Directory 侦察和数据泄露。”

微软进一步警告说，这些漏洞的武器化预计将在未来几天增加，因为恶意行为者将这些漏洞利用到他们的工具包中，包括部署勒索软件，因为“Exchange 系统授予攻击者的高权限访问权限”。

这家科技巨头以中等信心将正在进行的攻击归咎于一个国家资助的组织，并补充说，当零日倡议于上月初于 2022 年 9 月 8 日至 9 日向微软安全响应中心 (MSRC) 披露这些漏洞时，它已经在调查这些攻击。 .

这两个漏洞被统称为ProxyNotShell，因为它与 ProxyShell “它是相同的路径和 SSRF/RCE 对”但具有身份验证，这表明补丁不完整。

下面列出了这些问题，这些问题被串在一起以实现远程代码执行 -

• CVE-2022-41040（CVSS 评分：8.8）- Microsoft Exchange Server 特权提升漏洞
• CVE-2022-41082（CVSS 评分：8.8）- Microsoft Exchange Server 远程代码执行漏洞

“虽然这些漏洞需要身份验证，但利用所需的身份验证可以是标准用户的身份验证，”微软表示。“标准用户凭据可以通过许多不同的攻击获得，例如密码喷射或通过网络犯罪经济购买。”

越南网络安全公司 GTSC 于 2022 年 8 月首次发现这些漏洞，作为其对一位未透露姓名的客户的事件响应工作的一部分。怀疑是一名中国威胁行为者参与了入侵。

随着美国网络安全和基础设施安全局 (CISA)将两个 Microsoft Exchange Server 零日漏洞添加到其已知被利用漏洞 (KEV) 目录中，要求联邦机构在 2022 年 10 月 21 日之前应用这些补丁，这一进展随之而来。

微软表示，它正在制定“加速时间表”来发布针对这些缺陷的修复程序。它还发布了以下 URL 重写缓解步骤的脚本，它说“成功打破当前的攻击链” -

• 打开 IIS 管理器
• 选择默认网站
• 在功能视图中，单击 URL 重写
• 在右侧的操作窗格中，单击添加规则...
• 选择请求阻止并单击确定
• 添加字符串“.*autodiscover\.json.*\@.*Powershell.*”（不包括引号）
• 在使用下选择正则表达式
• 在如何阻止下选择中止请求，然后单击确定
• 展开规则并选择模式为 .*autodiscover\.json.*\@.*Powershell.* 的规则，然后单击条件下的编辑。
• 将条件输入从 {URL} 更改为 {REQUEST_URI}

作为额外的预防措施，该公司正在敦促公司强制执行多因素身份验证 (MFA)，禁用旧式身份验证，并教育用户不要接受意外的双因素身份验证 (2FA) 提示。

Qualys 恶意软件威胁研究副总裁 Travis Smith 告诉 The Hacker News：“Microsoft Exchange 是威胁参与者利用的多汁目标，主要有两个原因。”

“首先，直接连接到 Internet 的 Exchange [...] 创建了一个可以从世界任何地方访问的攻击面，从而大大增加了其被攻击的风险。其次，Exchange 是一项关键任务功能——组织不能只需拔掉或关闭电子邮件，就不会对他们的业务造成严重的负面影响。”