Microsoft 已确认最近报告的 Microsoft Exchange Server 2013、2016 和 2019 中的两个零日漏洞正在被广泛利用。
“第一个漏洞,标识为 CVE-2022-41040,是服务器端请求伪造 (SSRF) 漏洞,而第二个漏洞,标识为 CVE-2022-41082,允许远程代码执行 (RCE),当 PowerShell 可访问攻击者,”微软说。
“目前,微软意识到利用这两个漏洞进入用户系统的针对性攻击有限。”
该公司补充说,CVE-2022-41040 漏洞只能被经过身份验证的攻击者利用。成功利用然后允许他们触发 CVE-2022-41082 RCE 漏洞。
微软表示,Exchange Online 客户目前不需要采取任何行动,因为该公司已采取检测和缓解措施来保护客户。
“微软还在监控这些已经部署的恶意活动检测,并将采取必要的响应措施来保护客户。[..]我们正在加快发布修复的时间表,”微软补充道。
根据最先报告持续攻击的越南网络安全机构 GTSC 的说法,零日攻击被链接起来部署中国 Chopper 网络外壳以进行持久性和数据盗窃,并横向移动通过受害者的网络。
GTSC 还怀疑一个中国威胁组织可能对基于 web shell 代码页的持续攻击负责,该代码页是 Microsoft 简体中文字符编码。
威胁组还使用 Antsword 中文开源网站管理工具管理 web shell,正如用于将它们安装在受感染服务器上的用户代理所揭示的那样。
可用的缓解措施
Redmond 还确认了 GTSC 昨天分享的缓解措施,其安全研究人员还在三周前通过零日倡议私下向微软报告了这两个漏洞。
“在本地 Microsoft Exchange 客户应查看并应用以下 URL 重写说明并阻止暴露的远程 PowerShell 端口,”微软补充说。
“目前的缓解措施是在“IIS管理器->默认网站->自动发现->URL重写->操作”中添加阻止规则来阻止已知的攻击模式。”
要将缓解措施应用于易受攻击的服务器,您需要执行以下步骤:
- 打开 IIS 管理器。
- 展开默认网站。
- 选择自动发现。
- 在功能视图中,单击 URL 重写。
- 在右侧的“操作”窗格中,单击“添加规则”。
- 选择请求阻止,然后单击确定。
- 添加字符串“.*autodiscover\.json.*\@.*Powershell.*”(不包括引号),然后单击“确定”。
- 展开规则并选择模式为“.*autodiscover\.json.*\@.*Powershell.*”的规则,然后单击条件下的编辑。
- 将条件输入从 {URL} 更改为 {REQUEST_URI}
由于威胁参与者还可以通过 CVE-2022-41082 漏洞利用暴露和易受攻击的 Exchange 服务器上访问 PowerShell Remoting 以远程执行代码,因此微软还建议管理员阻止以下远程 PowerShell 端口以阻止攻击:
- HTTP:5985
- HTTPS:5986
GTSC 昨天表示,想要检查其 Exchange 服务器是否已被入侵的管理员可以运行以下 PowerShell 命令来扫描 IIS 日志文件以寻找入侵迹象:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软确认新的Exchange零日漏洞被用于攻击