国家赞助的黑客组织可能利用0-Days 攻击Exchange服务器

微软( Microsoft )上周五披露，2022年8月，一个单一的活动组通过将两个新披露的0-Days 缺陷链接到全球不到10个组织的有限一组攻击中，实现了初步访问和破坏Exchange服务器。

微软威胁情报中心( Microsoft Threat Intelligence Center，MSTIC )在上周五的一份报告中说，这些攻击安装了Chopper网络外壳，以方便攻击者进行Active Directory侦察和数据泄露。

微软进一步警告说，在未来的日子里，由于”高特权访问Exchange系统赋予攻击者”，这些漏洞的武器化将在未来的日子里迅速增加，因为黑客将这些漏洞利用到他们的工具包中，包括部署赎金。

这家科技巨头将正在进行的攻击归咎于一个国家赞助的组织，并补充说，在本月早些时候，”0-Days 倡议”在2022年9月8日至9日向微软安全反应中心( MSRC )披露了这些缺陷时，它已经在调查这些攻击。

这两个漏洞被统称为ProxyNotShell，因为它与ProxyShell是”相同的路径和SSRF / RCE对”，但有身份验证，这意味着一个不完整的补丁。

下面列出了为实现远程代码执行而连接在一起的问题——

  Cve-2022-41040 – Microsoft Exchange Server服务器端请求伪造漏洞

  Cve- 2022-41082 – Microsoft Exchange Server远程代码执行漏洞

微软说，虽然这些漏洞需要身份验证，但利用所需的身份验证可以是标准用户的身份验证。标准的用户凭证可以通过许多不同的攻击获得，例如密码喷射或通过网络犯罪经济购买。

这些漏洞是越南网络安全公司GTSC在2022年8月首次发现的，作为其对客户事件反应的一部分。一名中国威胁行为体被怀疑是入侵的幕后黑手。

美国网络安全和基础设施安全局( CISA )将两个Microsoft Exchange Server零日漏洞添加到其已知利用漏洞( KEV )目录，要求联邦机构在2022年10月21日之前应用补丁程序。

微软表示，它正在制定一个”加速时间表”，以解决缺陷。它还为下面的URL重写缓解步骤发布了一个脚本，说它”成功地打破了当前的攻击链”——

· 打开Iis经理

· 选择默认网站

· 在Feature View中单击” URL重写”

· 在右侧的”操作”窗格中，单击”添加规则”…

· 选择Request Blocking并点击OK

· 添加字符串’ . * autodiscover \ . json . * \ @ . * Powershell . * ‘ (不包括引号)

· 使用下选择正则表达式

· 在”如何阻止”下选择”中止请求”，然后单击”确定”

· 展开规则并选择模式为. * autodiscover \ .json. * \ @ . * Powershell . *的规则，然后单击”在条件下编辑”。

· 将条件输入从{ URL }更改为{ REQUEST _ URI }

作为额外的预防措施，公司敦促公司强制实施多因素认证( MFA )，禁用遗留认证，并教育用户不要接受意外的双因素认证( 2FA )提示。

  Qualys恶意软件威胁研究副总裁特拉维斯史密斯( Travis Smith )在接受《黑客新闻》( The Hacker News )采访时说，微软交易所( Microsoft Exchange )是威胁参与者利用的目标，主要有两个原因。

  “首先，Exchange [ .. ]直接连接到互联网创建了一个可从世界任何地方访问的攻击面，大大增加了被攻击的风险。其次，Exchange是一个关键的任务功能——组织不能仅仅拔掉或关闭电子邮件，而不会严重影响他们的业务。