越南网络安全机构 GTSC 的安全研究人员声称,威胁参与者正在利用尚未披露的 Microsoft Exchange 零日漏洞,允许远程执行代码,他们首先发现并报告了这些攻击。
攻击者正在链接这对零日漏洞,以在受感染的服务器上部署 Chinese Chopper web shell 以实现持久性和数据盗窃,并横向移动到受害者网络上的其他系统。
研究人员说: “这个漏洞非常严重,以至于攻击者可以在受感染的系统上进行 RCE 。
GTSC 怀疑一个中国威胁组织对基于 web shell 代码页的攻击负责,该代码页是 Microsoft 简体中文字符编码。
用于安装 web shell 的用户代理也属于 Antsword,这是一个基于中文的开源网站管理工具,支持 web shell 管理。
到目前为止,微软尚未披露有关这两个安全漏洞的任何信息,并且尚未分配 CVE ID 来跟踪它们。
研究人员在三周前通过 零日倡议私下向微软报告了这些安全漏洞, 在其分析师验证了这些问题后,该倡议将它们跟踪为ZDI-CAN-18333和ZDI- CAN-18802。
他们补充说:“GTSC 立即将该漏洞提交给零日倡议 (ZDI),以便与微软合作,以便尽快准备补丁。” “ZDI验证并确认了2个bug,CVSS分数分别为8.8和6.3。”
GTSC 很少发布有关这些零日漏洞的详细信息。尽管如此,其研究人员确实透露,此漏洞利用链中使用的请求与针对 ProxyShell 漏洞的攻击中使用的请求相似。
该漏洞利用分为两个阶段:
- 与 ProxyShell 漏洞格式类似的请求: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com。
- 使用上面的链接访问可以实现 RCE 的后端组件。
研究人员说:“这些 Exchange 服务器的版本号表明已经安装了最新的更新,因此不可能利用 Proxyshell 漏洞进行利用。”
可用的临时缓解措施
在 Microsoft 发布安全更新以解决这两个零日漏洞之前,GTSC 共享 临时缓解措施 ,通过使用 URL 重写规则模块添加新的 IIS 服务器规则来阻止攻击尝试:
- 在前端的自动发现中,选择选项卡 URL 重写,然后选择请求阻止。
- 将字符串“ .*autodiscover\.json.*\@.*Powershell.* ”添加到 URL 路径。
- 条件输入:选择 {REQUEST_URI}
GTSC 补充说:“我们建议全球所有使用 Microsoft Exchange Server 的组织/企业尽快检查、审查和应用上述临时补救措施,以避免潜在的严重损害。”
想要使用此漏洞检查其 Exchange 服务器是否已被入侵的管理员可以运行以下 PowerShell 命令来扫描 IIS 日志文件以查找入侵指标:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200今天早些时候,当 BleepingComputer 联系到微软和 ZDI 的发言人时,他们没有立即发表评论。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 据报道,新的Microsoft Exchange零日漏洞进行新的攻击
