微软正在调查关于一个新的零日漏洞被滥用来入侵 Exchange 服务器的报告,这些漏洞后来被用来发起 Lockbit 勒索软件攻击。
在 2022 年 7 月的至少一次此类事件中,攻击者使用先前在受感染的 Exchange 服务器上部署的 Web Shell 将权限提升到 Active Directory 管理员,窃取大约 1.3 TB 的数据,并加密网络系统。
正如韩国网络安全公司 AhnLab 所描述的,该公司聘请了法医分析专家来帮助调查,从上传 web shell 开始,攻击者只用了一周时间就劫持了 AD 管理员帐户。
AhnLab 表示,鉴于受害者在 2021 年 12 月的先前妥协后获得了微软的技术支持,以部署季度安全补丁,因此 Exchange 服务器很可能是使用“未公开的零日漏洞”被黑客入侵的。
“在 5 月之后披露的漏洞中,没有与远程命令或文件创建相关的漏洞报告,” AhnLab 解释说。
“因此,考虑到 WebShell 创建于 7 月 21 日,预计攻击者使用了一个未公开的零日漏洞。”
正如微软发言人今天早些时候告诉 BleepingComputer 的那样,该公司“正在调查这份报告中的说法,并将采取任何必要的行动来帮助保护客户。”
新的 Microsoft Exchange 零日?
虽然微软目前正在开发安全补丁以解决两个被积极利用的 Microsoft Exchange 零日漏洞,分别为 CVE-2022-41040 和 CVE-2022-41082,但 AhnLab 补充说,用于在 7 月份访问 Exchange 服务器的漏洞可能会有所不同因为攻击策略不重叠。
“有可能是利用了越南安全公司 GTSC 9 月 28 日披露的 Microsoft Exchange Server 漏洞(CVE-2022-41040、CVE-2022-41082),但攻击方式,生成的 WebShell 文件名,以及 WebShell 创建后的后续攻击,”AhnLab 说。
“据推测,不同的攻击者使用了不同的零日漏洞。”
尽管无法将交付方式的差异视为攻击者使用新的零日漏洞的足够证据,而且安全专家也不相信这种情况,但至少还有一家安全供应商知道其他三个未公开的 Exchange 漏洞并提供“疫苗” “以阻止利用尝试。
由零日倡议漏洞研究人员Piotr Bazydlo 发现并在三周前向微软报告,在其分析师验证后,网络安全软件公司 Trend Micro 将它们跟踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932问题。

自 2022 年 10 月 4 日起,该公司还在其 IPS N-Platform、NX-Platform 或 TPS 产品中添加了针对这些 Exchange 零日(被 Trend Micro 标记为严重严重性)的检测签名。
“这个过滤器可以防止利用影响 Microsoft Exchange 的零日漏洞,”趋势科技在一份数字疫苗支持文档中说。
自从报告了这三个安全漏洞以来,Microsoft 尚未披露任何有关这三个安全漏洞的信息,并且尚未分配 CVE ID 来跟踪它们。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软Exchange服务器被黑以部署LockBit勒索软件