• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

Microsoft Exchange Server中的0day


Recommended Posts

前言

2021年3月2日,几家公司发布了 有关Microsoft Exchange Server内部零日漏洞被野外利用的报告。以下漏洞使攻击者可以破坏易受攻击的Microsoft Exchange Server。结果,攻击者将可以访问所有注册的电子邮件帐户,或者能够在Exchange Server上下文中执行任意代码(远程代码执行或RCE)。在后一种情况下,攻击者还可以在受感染的服务器上实现持久性。

总共发现了四个漏洞:

  1. CVE-2021-26855。服务器端请求伪造(SSRF)允许未经授权的攻击者使用特殊构造的请求来查询服务器,这将导致远程代码执行。被利用的服务器随后会将查询转发到另一个目标。
  2. CVE-2021-26857由统一消息服务内的不安全数据反序列引起。潜在地允许攻击者执行任意代码(RCE)。由于对用户文件的控制不足,攻击者能够伪造数据查询的主体,并诱使高特权服务执行代码。
  3. CVE-2021-26858。利用此漏洞,授权的Exchange用户可以使用自己的数据覆盖系统中的任何现有文件。为此,攻击者必须破坏管理凭据或利用另一个漏洞,例如SSRF CVE-2021-26855。
  4. CVE-2021-27065CVE-2021-26858类似,并允许授权攻击者覆盖Exchange服务器上的任何系统文件。

卡巴斯基威胁情报显示,这些漏洞已被全世界的网络犯罪分子所使用。

image.png

带有提到的MS Exchange漏洞的攻击的地理位置(基于KSN统计信息)(下载

我们高度有信心地预测这仅仅是个开始,并且我们预期会进行无数次开采尝试,以期获得对公司范围内资源的访问权。此外,我们应注意,与此类攻击相关的勒索软件感染和/或数据盗窃通常存在很高的风险。

如何防范这种威胁?

我们的产品使用行为检测漏洞防御组件来防御这种威胁,并通过以下判断来检测利用:PDM:Exploit.Win32.Generic
我们使用以下检测名称来检测相关的利用:

  • Exploit.Win32.CVE-2021-26857.gen
  • HEUR:Exploit.Win32.CVE-2021-26857.a

根据我们的威胁情报,我们还检测并阻止在利用这些漏洞时使用的有效负载(后门)。可能的检测名称为(但不限于):

  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic

我们正在积极监视情况,并在需要时与可更新的数据库一起发布其他检测逻辑。

我们的端点检测和响应功能通过使用特殊的IoA标签标记此类可疑操作,帮助您在早期阶段识别攻击(并创建相应的警报)。例如,这是由于漏洞利用而由IIS Worker进程(w3wp.exe)启动的Powershell的示例:
microsoft_exchange_expoit_edr-1024x712.p

我们的托管检测和响应服务还能够通过使用威胁搜寻规则来发现漏洞利用本身以及可能的有效负载活动,来识别并阻止这种攻击。

而且有关攻击的详尽研究很快将在APT Intelligence Reporting服务中提供,请联系intelreports@kaspersky.com了解详细信息。

推荐建议

  • 由于Microsoft已经发布了修复所有这些漏洞的更新,因此我们强烈建议尽快更新Exchange Server。
  • 将防御策略的重点放在检测横向移动和数据向Internet的渗透上。要特别注意传出流量以检测网络犯罪连接。定期备份数据。确保在紧急情况下可以快速访问它。
  • 使用解决方案,例如Kaspersky Endpoint Detection and ResponseKaspersky Managed Detection and Response服务,这些解决方案有助于在攻击者实现目标之前尽早识别并阻止攻击。
  • 使用可靠的端点安全解决方案,例如Kaspersky Endpoint Security for Business,该解决方案由漏洞利用预防,行为检测和补救引擎提供支持,该引擎能够回滚恶意操作。KESB还具有自卫机制,可以防止网络罪犯将其删除。
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now