3 月 2 日，微軟面向 Microsoft Exchange Server 2013, 2016 和 2019 緊急發(fā)布帶外(Out of Band)安全更新，修復(fù)了一個(gè)預(yù)認(rèn)證的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞鏈（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）。

黑客可以利用這些漏洞在不知道有效賬戶憑證的情況下接管任意可訪問的 Exchange 服務(wù)器。截止發(fā)稿為止，目前有超過 5000 臺右鍵服務(wù)器檢測到了 webshells，超過 6 萬個(gè)客戶受到影響，而歐洲銀行業(yè)管理局等多個(gè)重要機(jī)構(gòu)遭到攻擊。

該漏洞最早是由知名漏斗研究專家 Orange Tsai 發(fā)現(xiàn)的，他在 2021 年 1 月 5 日向微軟報(bào)告了這些漏洞。不過根據(jù)外媒 Volexity 的報(bào)道，有跡象表明早在 1 月 3 日就有黑客利用該漏洞鏈發(fā)起了攻擊。因此，如果這些日期是正確的，那么這些漏洞要么是由兩個(gè)不同的漏洞研究團(tuán)隊(duì)獨(dú)立發(fā)現(xiàn)的，要么就是這些漏洞的信息以某種方式被惡意團(tuán)伙獲得。

2021 年 2 月 28 日開始，不斷有 Exchange 用戶遭到網(wǎng)絡(luò)攻擊，首先是 Tick，然后 LuckyMouse、Calypso 和 Winnti 團(tuán)伙也開始迅速發(fā)起攻擊。這表明，多名黑客在補(bǔ)丁發(fā)布之前就獲得了漏洞的細(xì)節(jié)，這意味著我們可以摒棄他們通過對微軟更新進(jìn)行逆向工程構(gòu)建漏洞的可能性。

在補(bǔ)丁發(fā)布的第 2 天，黑客采取了更加瘋狂的攻擊，包括 Tonto Team 和 Mikroceen 等團(tuán)隊(duì)也對 Exchange 服務(wù)器發(fā)起攻擊。有趣的是，所有這些都是對間諜活動感興趣的高級持續(xù)威脅(APT)組織，除了一個(gè)例外（DLTMiner），它與一個(gè)已知的加密采礦活動有關(guān)。下圖是攻擊時(shí)間線概要。

在過去幾天時(shí)間里，ESET 研究人員一直在密切關(guān)注這些漏洞的 webshell 檢測數(shù)量?；?ESET 的遙測數(shù)據(jù)，在補(bǔ)丁發(fā)布日有超過 115 個(gè)國家的 5000 多臺 Exchange 服務(wù)器被標(biāo)記為 webshell，而實(shí)際受感染的服務(wù)器數(shù)量肯定更多。圖 2 展示了微軟補(bǔ)丁前后的檢測情況。

圖 3 的熱圖顯示了根據(jù) ESET 遙測的 webshell 檢測的地理分布情況。由于大規(guī)模的利用，它很可能代表了全球安裝 ESET 安全產(chǎn)品的易受攻擊的 Exchange 服務(wù)器的分布情況。

ESET 已經(jīng)確定了超過 10 個(gè)不同的網(wǎng)絡(luò)威脅者，他們很可能利用最近的 Microsoft Exchange RCE，以便在受害者的電子郵件服務(wù)器上安裝植入物。

我們的分析是基于電子郵件服務(wù)器，我們在這些服務(wù)器上發(fā)現(xiàn)了離線地址簿（OAB）配置文件中的webshell，這是利用RCE漏洞的一種特殊技術(shù)，已經(jīng)在42單元的一篇博客文章中詳細(xì)介紹過。遺憾的是，我們不能排除一些威脅行為者可能劫持了其他組投放的webshells，而不是直接使用該漏洞。一旦漏洞被利用，webshell 被安裝到位，我們觀察到有人試圖通過它安裝更多的惡意軟件。我們還注意到，在某些情況下，幾個(gè)威脅行為者針對的是同一個(gè)組織。

（消息及封面來源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/