Jump to content
请先注册账号再浏览本站!Maak een account aan voordat u deze site bezoekt!
This Wind

Microsoft Exchange Server中的0day

Recommended Posts

前言

2021年3月2日,几家公司发布了 有关Microsoft Exchange Server内部零日漏洞被野外利用的报告。以下漏洞使攻击者可以破坏易受攻击的Microsoft Exchange Server。结果,攻击者将可以访问所有注册的电子邮件帐户,或者能够在Exchange Server上下文中执行任意代码(远程代码执行或RCE)。在后一种情况下,攻击者还可以在受感染的服务器上实现持久性。

总共发现了四个漏洞:

  1. CVE-2021-26855。服务器端请求伪造(SSRF)允许未经授权的攻击者使用特殊构造的请求来查询服务器,这将导致远程代码执行。被利用的服务器随后会将查询转发到另一个目标。
  2. CVE-2021-26857由统一消息服务内的不安全数据反序列引起。潜在地允许攻击者执行任意代码(RCE)。由于对用户文件的控制不足,攻击者能够伪造数据查询的主体,并诱使高特权服务执行代码。
  3. CVE-2021-26858。利用此漏洞,授权的Exchange用户可以使用自己的数据覆盖系统中的任何现有文件。为此,攻击者必须破坏管理凭据或利用另一个漏洞,例如SSRF CVE-2021-26855。
  4. CVE-2021-27065CVE-2021-26858类似,并允许授权攻击者覆盖Exchange服务器上的任何系统文件。

卡巴斯基威胁情报显示,这些漏洞已被全世界的网络犯罪分子所使用。

image.png

带有提到的MS Exchange漏洞的攻击的地理位置(基于KSN统计信息)(下载

我们高度有信心地预测这仅仅是个开始,并且我们预期会进行无数次开采尝试,以期获得对公司范围内资源的访问权。此外,我们应注意,与此类攻击相关的勒索软件感染和/或数据盗窃通常存在很高的风险。

如何防范这种威胁?

我们的产品使用行为检测漏洞防御组件来防御这种威胁,并通过以下判断来检测利用:PDM:Exploit.Win32.Generic
我们使用以下检测名称来检测相关的利用:

  • Exploit.Win32.CVE-2021-26857.gen
  • HEUR:Exploit.Win32.CVE-2021-26857.a

根据我们的威胁情报,我们还检测并阻止在利用这些漏洞时使用的有效负载(后门)。可能的检测名称为(但不限于):

  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic

我们正在积极监视情况,并在需要时与可更新的数据库一起发布其他检测逻辑。

我们的端点检测和响应功能通过使用特殊的IoA标签标记此类可疑操作,帮助您在早期阶段识别攻击(并创建相应的警报)。例如,这是由于漏洞利用而由IIS Worker进程(w3wp.exe)启动的Powershell的示例:
microsoft_exchange_expoit_edr-1024x712.p

我们的托管检测和响应服务还能够通过使用威胁搜寻规则来发现漏洞利用本身以及可能的有效负载活动,来识别并阻止这种攻击。

而且有关攻击的详尽研究很快将在APT Intelligence Reporting服务中提供,请联系[email protected]了解详细信息。

推荐建议

  • 由于Microsoft已经发布了修复所有这些漏洞的更新,因此我们强烈建议尽快更新Exchange Server。
  • 将防御策略的重点放在检测横向移动和数据向Internet的渗透上。要特别注意传出流量以检测网络犯罪连接。定期备份数据。确保在紧急情况下可以快速访问它。
  • 使用解决方案,例如Kaspersky Endpoint Detection and ResponseKaspersky Managed Detection and Response服务,这些解决方案有助于在攻击者实现目标之前尽早识别并阻止攻击。
  • 使用可靠的端点安全解决方案,例如Kaspersky Endpoint Security for Business,该解决方案由漏洞利用预防,行为检测和补救引擎提供支持,该引擎能够回滚恶意操作。KESB还具有自卫机制,可以防止网络罪犯将其删除。
Link to post
Share on other sites
  • Administrator

可以。

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Follow: 世界中文黑客论坛由CNHACKTEAM[CHT]创建,汇集国内外技术人员,这是一群研究网安黑客攻防技术领域的专家.

法务要求丨Legal丨закон丨القانون

请在学习期间遵守所在国家相关法律,否则后果自负!

Пожалуйста, соблюдайте законы страны, в которой вы находитесь, во время обучения, или будут последствия!

勉強期間中に該当する国の法律を守ってください。そうでなければ結果は自己責任です。

Please abide by the relevant laws of your country during your study, or you will be responsible for the consequences!

官方旗下项目丨About our project

声明:为净化国内外网络安全请勿发布违反国家国定的文章,团队不参与任何涉及黑色产业/攻击/渗透各国正规网站活动,只做网络安全研究,研究网络攻防技术。

世界中文黑客论坛由CNHACKTEAM(CHT)创建,汇集国内外技术人员,这是一群研究网络安全、黑客攻防技术领域的专家,你也可以加入我们!

黑客攻防  技术问答  0day  Hack News  CHT Team  使用指南  商城/Mall  商城订单查询  捐赠/donations  在线用户  X  联系邮箱email:[email protected]

友情链接丨Link丨Связь дружбы

CNHACKTEAM   CHT team official website     www.hac-ker.com     hacked.com.cn     www.77169.net     www.ddosi.com

申请或请未补上链接者联系我们的邮箱,谢谢!

×
×
  • Create New...

Important Information

Please use your computer to visit our website; Please agree to our website rules!Guidelines