警告：新的未修补漏洞Zero – day影响Microsoft Exchange

安全研究人员警告完全修补的Microsoft Exchange服务器中以前未披露的缺陷在攻击中被黑客利用，以实现受影响系统上的远程代码执行。

根据越南网络安全公司GTSC的说法，该公司在2022年8月发现了其安全监控和事件应对工作中的缺陷。

Zero – day倡议正在追踪正式尚未分配CVE标识符的两个漏洞，分别是ZDI – CAN – 18333 ( CVSS评分: 8.8分)和ZDI – CAN – 18802 ( CVSS评分: 6.3)。

GTSC说，成功利用缺陷并被滥用，以在受害者的系统中获得立足点，使对手能够投掷网络炮弹，并在受损的网络中进行横向移动。

该公司指出，”我们检测到了webshell，大多是混淆的，被丢弃到Exchange服务器上。”利用用户代理，我们检测到攻击者使用了Antsword，一种支持web shell管理的基于中文的开源跨平台网站管理工具。

 IIS日志中的利用请求据称以与ProxyShell Exchange Server漏洞相同的格式出现，GTSC指出，目标服务器已针对2021年3月曝光的漏洞进行了修补。

这家网络安全公司推测，这些攻击很可能来自一个中国黑客集团，因为网壳的编码是简体中文的( Windows Code第936页)。

攻击中还部署了China Chopper web shell，这是一个轻量级后门，可以授予持久远程访问权限，并允许攻击者随时重新连接以进行进一步攻击。

值得注意的是，在去年ProxyShell也是由他们部署的，该公司是一个可疑的国家赞助的集团，在去年的ProxyShell漏洞受到广泛的利用时，在中国运营。

GTSC观察到的进一步的后利用活动涉及将恶意DLL注入内存、使用WMI命令行( WMIC )实用程序在受感染的服务器上删除和执行额外的负载。

该公司表示，至少有一个以上的组织成为被Zero – day缺陷攻击的受害者。关于bug的更多详细信息已根据主动利用的情况予以保留。

我们已经联系到微软进行进一步的评论。

在此期间，作为临时的解决办法，建议添加一个规则来阻止带有妥协指示符的请求，使用IIS服务器的URL重写规则模块

· 在前端自动发现中，选择标签URL重写，然后选择请求阻塞

· 并将字符串’ . * autodiscover \ .json. * \ @ . * Powershell . * ‘添加到URL路径

· 条件输入：选择{ Request _ Uri }