针对 Microsoft Exchange 中两个被积极利用的高危漏洞(统称为 ProxyNotShell)的概念验证利用代码已在线发布。
跟踪为 CVE-2022-41082 和 CVE-2022-41040,这两个漏洞影响 Microsoft Exchange Server 2013、2016 和 2019,并允许攻击者提升权限以在系统上下文中运行 PowerShell,并在系统上获得任意或远程代码执行受损的服务器。
作为2022 年 11 月补丁星期二的一部分,微软发布了安全更新来解决这两个安全漏洞 ,尽管至少从 2022 年 9 月开始就检测到 ProxyNotShell攻击。
在微软发布 ProxyNotShell 安全更新一周后,安全研究员Janggggg发布了概念验证 (PoC) 攻击,攻击者在野外使用了后门 Exchange 服务器。
ANALYGENCE 的高级漏洞分析师 Will Dormann 测试了该漏洞并 确认 它可以针对运行 Exchange Server 2016 和 2019 的系统运行,并 补充 说代码需要一些调整才能使其在针对 Exchange Server 2013 时运行。
威胁情报公司 GreyNoise 自 9 月下旬以来一直在跟踪 ProxyNotShell 的利用情况,并提供有关 ProxyNotShell 扫描活动的信息 以及 与这些攻击相关的 IP 地址列表。
至少从 2022 年 9 月开始,攻击者就一直在将这两个安全漏洞联系起来,在受感染的服务器上部署 Chinese Chopper web shell 以实现持久性和数据窃取,以及在受害者网络中的横向移动 。
Redmond 还在 9 月 30 日证实 他们在野外遭到积极滥用,称它“知道利用这两个漏洞进入用户系统的有限针对性攻击”。
“因为我们知道相关漏洞的活跃利用(有限的针对性攻击), 我们的建议是立即安装这些更新 以防止这些攻击,”Exchange 团队 在补丁发布后 警告说。[强调我们的]
“这些漏洞会影响 Exchange Server。Exchange Online 客户已经受到保护,免受这些 SU 中解决的漏洞的影响,除了更新其环境中的任何 Exchange 服务器外,不需要采取任何行动。”
越南网络安全机构 GTSC 的安全研究人员首先发现并报告了这些攻击,他们表示,攻击者一直在利用这两个安全漏洞,在受感染的服务器上部署 Chinese Chopper web shell。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 针对被滥用的ProxyNotShell Exchange漏洞发布的漏洞
